Обеспечение защиты ПДн в ЦОД: кто несет ответственность?
В рубрику "Центры обработки данных (ЦОД)" | К списку рубрик | К списку авторов | К списку публикаций
Обеспечение защиты ПДн в ЦОД: кто несет ответственность?
В последнее время в России очень резко встал вопрос о защите ПДн. Каждый пользователь сети Интернет на различных ресурсах оставляет свои ПДн, надеясь на добросовестность оператора, который их получает, и на то, что такие данные не будут переданы третьим лицам, если пользователь не дал своего согласия.
Елена Денисова
Руководитель коммерческой практики,
гражданско-правовой департамент,
ЗАО “Юридическая фирма “КЛИФФ”
Руководитель коммерческой практики,
гражданско-правовой департамент,
ЗАО “Юридическая фирма “КЛИФФ”
Большинство ЦОД в РФ работают не на основании договора об обработке ПДн, а на основании обычного договора оказания услуг, а следовательно, вины перед субъектом персональных данных (СПДн) нет, то есть оператор не возмещал чужой вред. Второй вариант, почему оператор не сможет взыскать с ЦОД понесенные им расходы на оплату административного штрафа, – клиенты, использующие услуги ЦОД, не заявляют своим пользователям и не получают от них согласия на обработку ПДн третьим лицом. По этим двум причинам взыскание выплаченного административного штрафа не представляется возможным (ни в порядке регресса, ни в результате ненадлежащего выполнения ЦОД условий договора).
Так что же такое ЦОД в России и какова их степень ответственности?
ЦОД в России – это сервер, который обеспечивает или организует и обеспечивает информационные системы (ИС), в том числе информационные системы ПДн2.
Примечание:
ЦОД – специализированные объекты для размещения серверного и сетевого оборудования и подключения абонентов к каналам сети Интернет с возможностью хранения собираемых данных и их обработки. ЦОД выполняют функции обработки, хранения и распространения информации, для решения бизнес-задач владельца или клиента (если мы говорим о корпоративных ЦОД).
На текущий момент рынок предлагает несколько вариантов: локальные (корпоративные) и коммерческие ЦОД.
Не увлекаясь обсуждением технических возможностей кор поративных ЦОД (понятно, что вся ответственность за обработку ПДн в таких ЦОД лежит на его владельце), поговорим о тех, кто предоставляет или использует услуги IT-аутсорсинга (коммерческих ЦОД) и степени ответственности лиц, участвующих в таких отношениях.
Сначала давайте разграничим те виды услуг, которые на текущий момент предоставляет рынок коммерческих ЦОД:
- ЦОД как сервер (предоставляются услуги по размещению информации с обязательством по обеспечению физической и сетевой безопасности информации; фактически предоставляется инфраструктура, а ее обслуживание осуществляется самостоятельно). При таких услугах ЦОД не имеет допуска к информации, хранящейся на серверах, кроме физического. Поскольку мы живем в эпоху цифровых технологий, вряд ли для кого-то будет представлять интерес вынести сервер или его часть из здания, где размещается ЦОД. Следовательно, только в этом случае возможно привлечение ЦОД к договорной ответственности за несоблюдение условий договора о гарантиях физической безопасности сервера;
- ЦОД как сервис. В этом случае предоставляется весь комплекс услуг ЦОД сервера + услуги администрирования с доступом администратора к информации, хранящейся в системе, и порядку ее обработки3. Одной из задач такого ЦОД является создание ИС, обеспечивающей обработку и хранение ПДн, полученных оператором по их обработке. Согласно 152-ФЗ оператор может передать (поручить) обработку ПДн другому лицу на основании заключаемого с этим лицом договора4.
Граница ответственности
Кто должен нести ответственность за утечку данных: ЦОД, тот, кому были переданы ПДн, или тот, кто их получил и использовал? Где граница ответственности в отношениях ЦОД и оператора?
Разберемся с этими вопросами.
Ответ нам дает Федеральный закон № 152 от 27.07.2006 "О защите персональных данных" (далее по тексту 152-ФЗ), а именно п. 5 ст. 6, которая говорит, что в любом случае оператор несет ответственность перед субъектом ПДн за их рас-пространение1 без его согласия.
Ответ нам дает Федеральный закон № 152 от 27.07.2006 "О защите персональных данных" (далее по тексту 152-ФЗ), а именно п. 5 ст. 6, которая говорит, что в любом случае оператор несет ответственность перед субъектом ПДн за их рас-пространение1 без его согласия.
Все ЦОД предлагают своим клиентам заключение договора оказания услуг со стандартным перечнем: сбор и хранение любой информации, определенная степень отказоустойчивости, показатели энергопотребления и регулирования температурного режима, обеспечение бесперебойного соединения, степень и уровень резервирования, провайдерозависимость или провайдеронезависимость, возможность организации выделенных зон и обеспечение физической и
IT-безопасности5 от общих
внешних угроз. Однако такой договор не позволит привлечь ЦОД к ответственности перед оператором в случае утечки ПДн, поскольку в его условиях прямо не прописано, что ЦОД будет осуществлять обработку и хранение ПДн, а также не устанавливается порядок осуществления таких действий. 152-ФЗ говорит об ином договоре – договоре об обработке и хранении ПДн. Такой договор может быть заключен в виде договора оказания услуг или договора поручения.
Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные 152-ФЗ. В поручении оператора должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со ст. 19 152-ФЗ (в ней приведены меры по обеспечению безопасности ПДн при их обработке).
Согласно ч. 4 и 5 ст. 6 закона лицо, осуществляющее обработку ПДн по поручению оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн.Обеспечение безопасности ПДн
Оператор, работающий с персональными данными, и ЦОД в договоре должны определить адекватную степень защиты – смоделировать возможные риски и обеспечить их минимизацию и/или устранение (если это возможно). В данном случае обе стороны несут равную ответственность за моделирование и разработку адекватной степени защиты6. Это выражается в технологической степени защиты (кодирование протоколов обмена, криптозащита и пр.) и юридической (так называемой бумажной).
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 закона “О персональных данных”).
Из этого определения следует, что понятие обработки персональных данных включает в себя хранение и передачу таких данных.
Из этого определения следует, что понятие обработки персональных данных включает в себя хранение и передачу таких данных.
Технологическая степень защиты частично (но не исчерпывающе) закреплена в законодательных и ненормативных актах уполномоченных органов. В силу ст. 19 закона оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.
Согласно пп. 7 п. 3.1 Методических рекомендаций по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации, утвержденных ФСБ РФ 21 февраля 2008 г. № 149/54-144, для обеспечения безопасности ПДн при их обработке в ИС должны использоваться сертифицированные ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства.
В п. 5 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства РФ от 17 ноября 2007 г. № 781, предусмотрено, что средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
Обеспечение безопасности ПДн с использованием криптосредств должно осуществляться также в соответствии с приказом ФСБ России от 9.02.2005 № 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)"; Постановлением Правительства РФ от 29.12.2007 № 957 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами".
В соответствии с п. 18 указанного положения результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности ПДн при их обработке в ИС, проверяются в ходе экспертизы, осуществляемой ФСТЭК и ФСБ в пределах их полномочий.
К средствам защиты информации, предназначенным для обеспечения безопасности ПДн при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с ФСТЭК и ФСБ в пределах их полномочий. Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров, перечень которых определяется ФСТЭК и ФСБ в пределах их полномочий. Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию ПДн при их обработке в ИС устанавливаются ФСБ (пп. 19–21 положения).
Согласно п. 2.1 Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности ПДн при их обработке в ИСПДн, утвержденных ФСБ РФ 21 февраля 2008 г. № 149/6/6-622, безопасность обработки ПДн с использованием криптосредств организуют и обеспечивают операторы, а также лица, которым на основании договора оператор поручает обработку персональных данных, и/или лица, которым на основании договора оператор поручает оказание услуг по организации и обеспечению безопасности обработки в ИСПДн с использованием криптосредств.
Роскомнадзор называет следующие нарушения типовыми:
- ст. 7 Федерального закона "О персональных данных" – нарушение требований конфиденциальности при обработке ПДн;
- ч. 4 ст. 9 Федерального закона "О персональных данных" – несоответствие содержания письменного согласия субъекта на обработку его персональных данных требованиям Федерального закона;
- п. 15 Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687, в части, касающейся несоблюдения оператором условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ.
Все указанные типовые нарушения могут быть неве-лированы при правильном моделировании рисков и распределении между оператором и ЦОД границ ответственности. При этом такие границы ответственности между указанными субъектами могут быть осуществлены исключительно с использованием механизмов и институтов гражданского права, а ЦОД при работе с оператором по договору об обработке и хранении ПДн может быть привлечен к ответственности исключительно в рамках гражданско-правовых отношений и может нести исключительно гражданско-правовую ответственность, характерную для хозяйственных договоров.
Согласно п. 46 Положения ПКЗ-2005 средства криптографической защиты информации (СКЗИ) эксплуатируются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с ФСБ России и специализированной организацией, проводившей тематические исследования СКЗИ.
Имеются другие нормативные документы, в которых содержатся требования к защите персональных данных при их автоматизированной обработке в ИС и иные требования, связанные с обработкой и хранением персональных данных, режимом работы с персональными данными в организации оператора, например: Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России от 5.02.2010 № 58; Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК 14.02.2008; базовая модель угроз безопасности ПДн при их обработке в ИСПДн, утвержденная ФСТЭК 15.02.2008.
Кроме того, при разработке адекватной степени защиты в договоре на обработку и хранение ПДн стороны должны указать цели и порядок обработки, хранения и уничтожения ПДн. ЦОД должен обеспечить те же принципы, цели и порядок обработки ПДн, что и оператор, а также тот же порядок допуска и работы с ПДн, что и сотрудники и работники оператора. Если у оператора это отражается в локальных актах, то при заключении с ЦОД эти обязанности и порядок должны быть зафиксированы в тексте договора в разделе, посвященном обязанностям ЦОД.
Кроме того, оператор при разработке документов для работы с субъектами ПДн (вне зависимости от того, каким способом он получает ПДн: посредством интернет-ресурсов7 или в режиме офлайн) должен получить согласие в письменной форме субъекта персональных данных на обработку его ПДн, которое должно включать в себя, в частности, перечень действий с ПДн, на совершение которых дается согласие, а также согласие на их передачу третьему лицу с целью обработки, хранения и уничтожения и общее описание используемых оператором способов их обработки8.
Отражение в договоре с ЦОД на обработку, хранение и уничтожение ПДн указанных положений позволит привлечь ЦОД к ответственности за несоблюдение условий договора и взыскать с него убытки, причиненные оператору ненадлежащим исполнением договора. Для этого оператору будет необходимо доказать причинно-следственную связь между утечкой ПДн по вине ЦОД, повлекшей негативные последствия для оператора, выразившиеся в привлечении последнего к ответственности. То есть только при включении указанных положений в договор с ЦОД возможна реализация положения 152-ФЗ об ответственности лица, осуществляющего обработку ПДн по поручению оператора9.
Итог
Подводя итог всему вышеописанному, можно сделать вывод о том, что для взыскания с ЦОД каких-либо убытков, возникших в результате ненадлежащего исполнения последним обязательств по договору, оператору, осуществляющему обработку ПДн, необходимо:
- прежде чем заключить договор с ЦОД, определить, как он будет использоваться: как сервис или как сервер;
- смоделировать угрозы (бумажный подход, защита информации, комплекс);
- подготовить все внутренние и публичные документы, используемые при работе с СПДн (привести их в соответствие с требованиями законодательства). Получить согласие СПДн о передаче обработки ПДн третьему лицу;
- заключить договоры с ЦОД: на оказание услуг по размещению информации на серверах ЦОД и договор на обработку, хранение и уничтожение ПДн с включением в текст договора обязательных условий: цели и задачи обработки ПДн, заявленные оператором и обеспечивающиеся ЦОД; смоделированные угрозы и способы их устранения; порядок получения, обработки, хранения и уничтожения ПДн; порядок возмещения убытков оператора, возникших в результате ненадлежащего исполнения ЦОД своих обязательств, в том числе повлекших обращение субъекта ПДн в уполномоченный орган и привлечение оператора к ответственности10.
___________________________________________
1 В случае если оператор поручает обработку ПДн другому лицу, ответственность перед СПДн за действия указанного лица несет оператор (п. 5 ст. 6 152-ФЗ).
2 Ст. 2 152-ФЗ: Под ИСПДн подразумевается совокупность содержащихся в базах ПДн и обеспечивающих их обработку IT и технических средств.
3 Доказательством того, что администрирование ИСПДн влечет возможность привлечения лица к ответственности или возложения на него ответственности в порядке регресса, служат материалы административных дел за 2012 г., размещенные на сайте Роскомнадзора (административное дело в отношении владельцев интернет-сайта: www.db.spravki.net).
4 П. 3 ст. 6 152-ФЗ.
5 Последнее характерно только для высокотехнологичных ЦОД, обеспеченных лицензиями ФСБ и лицензией и аккредитацией ФСТЭК.
6 Понятия “адекватной защиты" в российском законодательстве не содержится, следовательно, это понятие оценочное. С юридической точки зрения об адекватности защиты ПДн может свидетельствовать, во-первых, наличие юридических и практических мер (национальных законов, подзаконных актов и административных распоряжений), обеспечивающих полную, своевременную и реальную защиту прав СПДн, во-вторых, достаточность уровня защиты, предоставляемого профессиональным правилам и мерам безопасности.
7 В соответствии со сложившейся судебной практикой это могут быть: технологическая зависимость между совершаемым действием и подтверждением согласия субъекта (так называемая галочка на сайте, без которой невозможны дальнейшие действия по передаче ПДн) или акцепт (конклюдентные действия СПДн, прямо подтверждающие намерение заключить договор на условиях, предложенных оператором. При этом в условиях договора необходимо описать все вышеуказанные требования к согласию). В качестве примера такой судебной практики можно привести следующие судебные акты: постановление ФАС Северо-Западного округа от 13.12.2010 № Ф07-13220/2010 по делу № А56-73636/2009; постановление ФАС Уральского округа от 18.03.2010 № Ф09-1736/10-С1 по делу № А34-5785/2009 и др.
8 Если речь идет о поручении обработки ПДн на аутсорсинг за границу, рекомендуется получить согласие гражданина на трансграничную передачу и обработку в данном конкретном иностранном государстве его ПДн.
9 Ч. 2 п. 5 ст. 6 152-ФЗ.
10 Позиция автора основана на данных отчета Роскомнадзора за 2012 г. (размещенного на официальном сайте контролирующего органа в 2013 г.), в соответствии с которым: по результатам контрольно-надзорных мероприятий, проведенных уполномоченным органом в 2012 г., совершено 1537 проверок, выявлено 5369 нарушений законодательства в области защиты ПДн, взыскано более 8,5 млн руб. в виде административных штрафов.
1 В случае если оператор поручает обработку ПДн другому лицу, ответственность перед СПДн за действия указанного лица несет оператор (п. 5 ст. 6 152-ФЗ).
2 Ст. 2 152-ФЗ: Под ИСПДн подразумевается совокупность содержащихся в базах ПДн и обеспечивающих их обработку IT и технических средств.
3 Доказательством того, что администрирование ИСПДн влечет возможность привлечения лица к ответственности или возложения на него ответственности в порядке регресса, служат материалы административных дел за 2012 г., размещенные на сайте Роскомнадзора (административное дело в отношении владельцев интернет-сайта: www.db.spravki.net).
4 П. 3 ст. 6 152-ФЗ.
5 Последнее характерно только для высокотехнологичных ЦОД, обеспеченных лицензиями ФСБ и лицензией и аккредитацией ФСТЭК.
6 Понятия “адекватной защиты" в российском законодательстве не содержится, следовательно, это понятие оценочное. С юридической точки зрения об адекватности защиты ПДн может свидетельствовать, во-первых, наличие юридических и практических мер (национальных законов, подзаконных актов и административных распоряжений), обеспечивающих полную, своевременную и реальную защиту прав СПДн, во-вторых, достаточность уровня защиты, предоставляемого профессиональным правилам и мерам безопасности.
7 В соответствии со сложившейся судебной практикой это могут быть: технологическая зависимость между совершаемым действием и подтверждением согласия субъекта (так называемая галочка на сайте, без которой невозможны дальнейшие действия по передаче ПДн) или акцепт (конклюдентные действия СПДн, прямо подтверждающие намерение заключить договор на условиях, предложенных оператором. При этом в условиях договора необходимо описать все вышеуказанные требования к согласию). В качестве примера такой судебной практики можно привести следующие судебные акты: постановление ФАС Северо-Западного округа от 13.12.2010 № Ф07-13220/2010 по делу № А56-73636/2009; постановление ФАС Уральского округа от 18.03.2010 № Ф09-1736/10-С1 по делу № А34-5785/2009 и др.
8 Если речь идет о поручении обработки ПДн на аутсорсинг за границу, рекомендуется получить согласие гражданина на трансграничную передачу и обработку в данном конкретном иностранном государстве его ПДн.
9 Ч. 2 п. 5 ст. 6 152-ФЗ.
10 Позиция автора основана на данных отчета Роскомнадзора за 2012 г. (размещенного на официальном сайте контролирующего органа в 2013 г.), в соответствии с которым: по результатам контрольно-надзорных мероприятий, проведенных уполномоченным органом в 2012 г., совершено 1537 проверок, выявлено 5369 нарушений законодательства в области защиты ПДн, взыскано более 8,5 млн руб. в виде административных штрафов.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2013
