Персональные данные закон работает?

Информация - это как бы некоторая "сила", направленная против дезорганизации и хаоса...
А.И. Берг, советский ученый-радиотехник

Наталья Самойлова
Юрист компании "ИнфоТехноПроект"

Нормативным правовым актом, регулирующим отношения в части обработки одной из категорий конфиденциальной информации - персональных данных, стал Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" (далее - ФЗ № 152). Этот документ создал трудности в осуществлении деятельности, пожалуй, всех юридических лиц России и продолжает обсуждаться на мероприятиях, посвященных информационной безопасности (в период с сентября по ноябрь текущего года их планируется как минимум 13). Говорит это, в первую очередь, о нерешенных проблемах реализации ФЗ № 152 в преддверии часа "икс" - 1 января 2010 г., - дня, к которому информационные системы персональных данных должны быть приведены в соответствие с законом. На самом же деле требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных и к материальным носителям биометрических персональных данных, технологиям хранения таких систем согласно ст. 19 ФЗ № 152 устанавливаются Правительством Российской Федерации. В постановлениях от 17.11.2007 № 781 и от 06.07.2008 г. № 512 Правительство Российской Федерации утвердило эти требования, а контроль за их выполнением возложен на ФСТЭК России и ФСБ России.

Инсайдерские угрозы никто не отменял

Относительно выполнения требований технической защиты информационных систем персональных данных в СМИ стало появляться все больше публикаций: от рекламы учебных курсов до конкретных коммерческих предложений.

Однако ошибочно мнение тех, кто считает, что для получения статуса добропорядочного оператора достаточно установить сертифицированные средства технической защиты на имеющиеся информационные системы. Техника, вероятно, и способна защитить компанию от утечек персональных данных ее сотрудников или клиентов (внешних угроз), но ведь инсайдерские угрозы никто не отменял! Специалисты должны работать с персональными данными по правилам компании, понимать, кто именно имеет к ним доступ, осознавать личную ответственность за нарушение таких правил. Компаниям в свою очередь необходимо иметь пакет документов (в частности, Положение об обработке персональных данных, Инструкция по работе с персональными данными руководителя кадровой службы). А это уже меры организационной защиты.

ФЗ № 152 начал работать

Наличием документов, определяющих порядок работы с персональными данными в организации, как раз интересуется уполномоченный орган - Роскомнадзор (при проведении выездных проверок). К слову, согласно сведениям, опубликованным в отчете о деятельности уполномоченного органа за 2008 г., территориальными органами Роскомнадзора было проведено 76 мероприятий по контролю (надзору), а на текущий год запланировано 321 мероприятие.

Результаты проведенных проверок, в том числе на основании поступивших жалоб и обращений, уже есть: например, за 2008 г. Роскомнадзором было выдано 19 предписаний об устранении выявленных нарушений законодательства Российской Федерации в области персональных данных. Это говорит о том, что ФЗ № 152 начал работать.

В соответствии с информацией о зарегистрированных на данный момент в Реестре операторов 62 тыс. организации, количество операторов, которые еще не подали уведомление об обработке персональных данных (не говоря уже о взятии согласия на обработку и принятии организационных и технических мер защиты), гораздо больше "законопослушных": они наверняка ждут появления каких-то типовых решений проблемы реализации требований ФЗ № 152 либо надеются на перенос часа "икс".

Такая позиция вполне объяснима. Во-первых, отсутствуют строгие карательные меры за незаконную обработку персональных данных. Здесь нельзя не сказать о законопроекте, находящемся уже продолжительное время на рассмотрении в Государственной думе Российской Федерации. В частности, он предусматривает такие составы правонарушений, как незаконная обработка специальных категорий персональных данных, нарушения устанавливаемого порядка трансграничной передачи.

Во-вторых, несмотря на то что ФЗ № 152 был принят более трех лет назад, как ни странно, еще остались компании, которые вообще не слышали ни об этом законе, ни об уполномоченном органе и тем более ни о своих обязанностях по защите обрабатываемых персональных данных.

И это - одна из причин того, почему на данный момент не стоит ждать более высоких показателей результатов "работы" ФЗ № 152.

В соответствии с ним компаниям необходимо привести свои внутренние документы, касающиеся работы с информацией.

Подзаконные акты

Для исполнения ФЗ № 152 требуется принятие ряда подзаконных актов: уже появились приказы некоторых государственных органов  (например, приказ Министерства транспорта Российской Федерации от 17.02.2009 г. № 27 "Об утверждении положения об организации работы с персональными данными государственного гражданского служащего Министерства транспорта Российской Федерации и ведении его личного дела"), разъяснительные письма (например, письмо Федерального агентства по образованию от 29.07.2009 № 17-110 "Об обеспечении защиты персональных данных" руководителям учреждений, подведомственных Рособразованию). В целом эти документы повторяют смысл положений ФЗ № 152 с привязкой к той или иной сфере деятельности государственного органа и списком уполномоченных на обработку персональных данных должностей. Документов же или разъяснений по таким проблемам, как трансграничная передача персональных данных или персональные данные в сети Интернет, на сегодняшний день не принято.

Заключение

Таким образом, можно сказать, что ФЗ № 152 работает, но ровно в той степени, в которой это возможно в настоящее время. На наш взгляд, чтобы приступить к реализации его требований в полной мере, операторам не стоит ждать ужесточения ответственности: сейчас или потом - ее не избежать. Выполняя обязанности операторов, перечисленные в главе 14 ФЗ № 152, компаниям следовало бы предпринимать действия, на свой взгляд оценивая их верность. Только так можно будет сформировать практику применения нормативных правовых актов в сфере персональных данных, выявить пробелы и облегчить участь законодателя по детализации уже принятых правовых норм.

Комментарий эксперта

Михаил Башлыков
Руководитель направления информационной безопасности компании "КРОК"

Сегодня роль информационной безопасности увеличивается, особенно для организаций, деятельность которых строится на обработке информации. Бизнес становится все более мобильным - мобильные пользователи, мобильные удаленные доступы, видеоконференцсвязь, порталы, обмен мгновенными сообщениями и прочие сервисы, в которых ИБ должна обеспечивать целостность, конфиденциальность данных, не мешая бизнесу. ИБ - это некий процесс, который никогда не заканчивается, требует постоянного аудита, развития, пересмотра.

Мобилизация различных сфер жизни общества приводит к накоплению персональных данных граждан, что в отсутствии какого-либо регулирования неизбежно приводит к попыткам использования этих данных с целью извлечения выгоды. И ущерб может быть нанесен как юридическим, так и частным лицам. Примеры известны всему рынку ИБ и практически ежедневно обсуждаются в прессе: кражи номеров кредитных карт, получение кредитов по поддельным документам, продажи баз данных с телефонами, паспортными данными, данными об автомобилях и т.д.

Очевидно, что для предотвращения нежелательных последствий использования персональных данных со злым умыслом необходима проработка вопросов о порядке использования персональных данных, их защиты, права и обязанности сторон (оператора и субъекта персональных данных). Принятие Закона о персональных данных и ряда последующих регулирующих документов - решение, возможно, еще до конца не проработанное, но твердое и необходимое. Новый закон у многих вызывает вопросы, но лишь потому, что нет практики его применения.

Государственное регулирование вопроса защиты персональных данных - это единственный способ обеспечить защиту организаций и частных лиц в масштабах всего государства.

Приведение персональных данных, обрабатываемых в организациях, в соответствие с законом - это комплексная задача, в ней есть и организационные, и юридические, и технические аспекты. Другое дело, что техническая составляющая в большинстве компаний, как правило, находится на достаточно высоком уровне. Важно построить правильную структуру, провести инвентаризацию и классификацию своих информационных систем, разработать модель угроз и определить, какие дополнительные средства необходимо внедрить. До 1 января 2010 г. остается все меньше и меньше времени. И сейчас уже очевидно, что сроки проверки приведения информационных систем персональных данных переноситься на более поздний срок не будут. Но время на подготовку еще есть, и его следует использовать максимально эффективно. Нужно здраво подойти к общим вопросам информационной безопасности. Провести классификацию и инвентаризацию систем обработки персональных данных, понять, где эти данные обрабатываются. Затем внедрить организационные меры защиты и, прежде всего, четко определить порядок доступа к соответствующим информационным системам: кто имеет доступ, к какой информации, на каких основаниях и т.п. Параллельно можно внедрять технические средства защиты этой информации, сертифицированные в соответствии с требованиями закона.

Алексей Филатенков
И.о. начальника отдела информационной безопасности компании

Интерес к теме защиты персональных данных по накалу страстей вокруг нее может сравниться разве что с "проблемой 2000 г.". Если проанализировать процентное соотношение публикаций и выступлений, посвященных вопросам безопасности персональных данных и связанных с другими аспектами информационной безопасности, то "персональные данные" побеждают с большим отрывом.

Это и хорошо, потому что таким образом подчеркивается важность данного вопроса как для субъекта персональных данных, так и для оператора. Человек, взявший кредит в банке, может поинтересоваться, надежно ли защищены предоставленные им персональные данные, блокированы ли возможности для злоупотреблений недобросовестных сотрудников банка? А у руководителя подразделения ИБ оператора персональных данных появился веский аргумент на выделение бюджета для обеспечения выполнения требований Федерального закона № 152-ФЗ "О персональных данных". И это во время экономического кризиса, когда бюджеты на информационную безопасность повсеместно сокращаются ввиду того, что традиционно ИБ воспринимается исключительно как центр затрат.

Тут, безусловно, нужно согласиться с автором статьи в том, что Закон "О персональных данных" работает. И работает, на мой взгляд, тот аспект, что, несмотря на мощное давление, пока не ожидается переноса срока, к которому все информационные системы персональных данных должны быть приведены в соответствие с требованиями данного закона. Именно такая "неотвратимость" и заставляет операторов предпринимать шаги к созданию систем защиты персональных данных.

Однако можно поспорить с содержащимся в статье утверждением о том, что "отсутствуют строгие карательные меры" за нарушение закона. Такие меры прописаны как в Кодексе об административных правонарушениях (КоАП), так и в Уголовном кодексе. Причем возможности здесь достаточно широкие - от наложения штрафа до приостановления деятельности предприятия на срок до 90 суток. Но тут нужно понимать, что, например, для министерства или ведомства приостановление его деятельности невозможно. Руководителя такой организации может побудить к действию, например, риск лишиться своего поста (ст. 19.5 КоАП). Для коммерческой же организации приостановление деятельности на три месяца равносильно закрытию бизнеса. Однако все будет зависеть от правоприменительной практики в отношении данного закона, которая пока только складывается. Поживем - увидим.

В общем, если судить по практике работы подразделения ИБ системного интегратора, значительное число ведущихся сейчас проектов направлено на приведение информационных систем персональных данных операторов в соответствие с требованиями Закона "О персональных данных". Нужно, чтобы работы по созданию системы защиты персональных данных не сводились только к удовлетворению формальных требований регуляторов, а обеспечили бы действительно надежную их защиту.

Алексей Плешков
Начальник отдела защиты информационных технологий, "Газпромбанк" (ОАО)

С момента принятия Федерального закона "О персональных данных" № 152 от 27.06.2006 г. (далее - закон) прошло уже более трех лет. За это время понимание российского руководителя (обывателя, с точки зрения законотворцев) в отношении необходимости исполнения закона поменялось от сдержанно нейтрального ("мол, меня все равно это не коснется") до осознанно настороженного ("сколько же всего придется изменить?!"). До 1 января 2010 г. остается все меньше времени, и необходимость исполнения требований закона и подзаконных актов вынуждает руководителей юридических лиц вносить существенные, подчас кардинальные изменения в устоявшиеся, проверенные временем бизнес-процессы и технологические схемы. В крупных российских компаниях модернизация бизнеса в первую очередь сопряжена с необходимостью выделения финансовых и человеческих ресурсов, точные объемы, сроки и характер использования которых заранее неизвестны. Для иностранных компаний, работающих на российском рынке предоставления услуг физическим лицам (субъектам персональных данных), выполнение требований  постановлений  Правительства  РФ  (от 17.11.2007 г. № 781, от 15.09.2008 г. № 687 и др.) ставит под сомнение перспективы спокойного и уверенного продолжения работы после проведения комплексных проверок представителями регуляторов.

Вместе с тем необходимо отметить, что принимаемые повсеместно организационные и технические меры по обеспечению защиты обрабатываемых персональных данных без преувеличения приносят свои плоды. В качестве иллюстрации можно отметить:

• увеличение интегральных показателей российского рынка продаж аппаратных и программных средств защиты информации, в том числе сертифицированных ФСТЭК и ФСБ РФ;
• уменьшение за последние три года числа подтвержденных случаев утечек и нарушения конфиденциальности информации, обрабатываемой внутри коммерческих и государственных структур, и, как следствие, снижение поступления ее на нелегальные рынки и в Интернет;
• появление в большинстве организаций новых сотрудников - специалистов по информационной безопасности, призванных в комплексе обеспечить защиту обрабатываемых данных как в информационных системах, так и на бумажных носителях.

Все это подтверждает корректность позиции, высказанной автором. Федеральный закон "О персональных данных" работает. Однако в настоящее время степень исполнения закона в России рассчитать или измерить сложно. Количественные оценки появятся только после завершения первых проверок и публикации Роскомнадзором отчетов в I-II кварталах 2010 г.