Состоявшаяся в конце ноября в Москве третья международная конференция “Защита персональных данных” констатировала состояние закона “О персональных данных” (№ 152-ФЗ) на конец 2012 г.

Регуляторы

Заместитель председателя комитета Госдумы РФ по конституционному законодательству и государственному строительству Дмитрий Вяткин пообещал, что в ближайшее время будут созданы все законодательные основания для того, чтобы Россия стала полноправным участником Европейской конвенции о защите физических лиц в вопросах, касающихся автоматической обработки личных данных. Это позволит российским экспертам отстаивать интересы нашей страны при разработке документов этой конвенции.

По его словам, положительное влияние закона “О персональных данных” на законотворческие процессы в стране не подлежит сомнению — постепенно все его участники начинают привыкать к тому, что персональные данные (ПДн) о гражданах охраняются федеральным законом, и все прочие российские законы теперь рассматриваются и с позиции безопасности ПДн тоже.

Актуальность деятельности российской законодательной власти в этом направлении подтвердил в своем докладе, раскрывающем позицию Роскомнадзора в области регулирования безопасности ПДн, начальник управления по защите прав субъектов персональных данных Роскомнадзора Юрий Контемиров, который заявил, что правовое обеспечение защиты ПДн по-прежнему остается весьма важным.

Госдума в июле 2011г. приняла поправки, внесенные в закон № 152-ФЗ, относящиеся к его применению, понятиям и принципам обработки ПДн. Правительством России был соответственно утвержден перечень нормативно-правовых актов для исполнения изменившихся требований закона. В числе первых — постановление Правительства № 211 от 21 марта 2012 г., в котором определен перечень мер, адресованных операторам ПДн, относящимся к государственным и муниципальным органам. В нем за Роскомнадзором закреплены обязанность установить требования по обезличиванию ПДн и методы их реализации в информационных системах персональных данных (ИСПДн). Предполагается, что эти меры помогут снизить финансовые затраты операторов и минимизировать риски нарушения прав граждан при возникновении утечек ПДн.

В ноябре 2012 г. принято постановление Правительства РФ № 1119, которое отменило действовавшее ранее постановление № 781 и утвердило новые, измененные концептуально, требования к защите ПДн в ИСПДн. Эти изменения вызвали со стороны операторов ПДн немало вопросов, касающихся категоризации и терминологии, которыми оперирует постановление, и реализации его положений.

Действия Роскомнадзора, как подчеркнул г-н Контемиров, нацелены на увязку постановлений Правительства, в первую очередь постановления № 1119, с практикой их применения. Так, в целях реализации принципа неотвратимости наказания за нарушение закона № 152-ФЗ Роскомнадзор выступил с предложением увеличить штрафные санкции за нарушения порядка распространения ПДн до 500 тыс. руб., а за повторные нарушения — до 700 тыс. руб.

Выдвинутые Роскомнадзором предложения проходят в настоящее время процедуру согласования и, как отметил г-н Контемиров, уже одобрены МВД, Генеральной прокуратурой, Минкомсвязи, а также Минэкономразвития (которое признало новые размеры штрафов необременительными для операторов ПДн, в том числе и относящихся к сегменту среднего и малого бизнеса).

Актуальным, как считают в Роскомнадзоре, остается вопрос безопасной обработки ПДн при предоставлении госуслуг в электронном виде. С одной стороны, Роскомнадзор до сего времени не получил ни одной официальной претензии от граждан по поводу безопасности обработки их ПДн на едином портале госуслуг, что с большой вероятностью свидетельствует о ее адекватности действующим требованиям защиты ПДн граждан. С другой стороны, на 2013 год Роскомнадзор наметил плановые проверки в некоторых многофункциональных центрах предоставления государственных и муниципальных услуг населению, что, по словам г-на Контемирова, продиктовано общим потоком жалоб граждан по поводу выполнения закона № 152-ФЗ и необходимостью оценки мер по обеспечению ИБ обрабатываемых в этих центрах персональных данных населения.

Сложности с защитой ПДн по-прежнему актуальны при их трансграничной передаче, что затрагивает такие области, как туризм, культурные и образовательные связи, пассажирские перевозки, взаимодействие государственных и общественных организаций, бизнес-структур и т. п. Проблемы, связанные с этими видами деятельности, прежде всего упираются в различающиеся требования к защите ПДн и подходы к ее реализации в России и других странах. Так, Россия, по словам г-на Контемирова, для передачи ПДн использует, как правило, либо защищенные каналы электросвязи, либо дипломатическую почту. В то же время во многих странах для этого нередко применяются открытые каналы, такие как факсимильная связь и Интернет.

В Роскомнадзоре рекомендуют работающим на территории России компаниям при выборе зарубежных партнеров руководствоваться в первую очередь положением статьи 12 закона “О персональных данных”, которая устанавливает критерии и условия оценки адекватности защищенности ПДн российским требованиям на территориях других стран. Эти страны сегодня, как считают в Роскомнадзоре, следует разделять на две группы — присоединившиеся к Европейской конвенции о защите физических лиц в вопросах, касающихся автоматической обработки личных данных (эти страны Роскомнадзор относит к обеспечивающим адекватную защиту) и остальные (которые, по оценкам Роскомнадзора, не обеспечивают адекватности; для них предусмотрен ряд специальных условий при трансграничной передаче ПДн).

Косвенными признаками адекватности, как считают в Роскомнадзоре, могут служить наличие национальных законов, регламентирующих процедуры защиты и обработки ПДн и включающих санкции за их нарушение, а также наличие уполномоченных органов по защите прав субъектов ПДн. Этот подход, базирующийся на принципах, заложенных в документах Евросоюза, отражен в проекте приказа Роскомнадзора, содержащего перечень стран, не присоединившихся к Европейской конвенции, но тем не менее обеспечивающих адекватность (российским критериям) защиты ПДн. Проект приказа в настоящее время дорабатывается с учетом замечаний, поступивших в Роскомнадзор, Так, на основании этих замечаний из проекта исключены критерии, связанные с публично зафиксированными фактами утечек ПДн.

Роскомнадзор настаивает на включении в проект в качестве одного из критериев результатов взаимодействия российских институций с представителями уполномоченных органов и заинтересованных организаций по вопросам, связанным с восстановлением нарушенных прав граждан России. При этом неоказание содействия иностранными государствами будет препятствовать их включению в упомянутый перечень.

Одним из вариантов комплексного решения вопроса защиты ПДн, как считают в Роскомнадзоре, является отраслевой подход, т. е. унификация построения защиты ПДн по отдельным сферам деятельности. Роскомнадзор поддерживает инициативы профессиональных сообществ по разработке отраслевых стандартов. Эффективность такого подхода, согласно его данным, демонстрирует стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС). В реестре Роскомнадзора сегодня зарегистрировано около 70% российских банков, следующих этому стандарту. Благодаря распространению СТО БР ИББС на 20% снизилось количество выявленных Роскомнадзором нарушений. Вместе с этим комитет рекомендует профессиональным сообществам принять меры по скорейшей переработке ранее подготовленных отраслевых стандартов с учетом всех нововведений в регулирование обращения ПДн.

К настоящему времени нет критериев оценки ИБ в облачных архитектурах и виртуальных средах, не решен вопрос разграничения ответственности за нарушение требований к ИБ при использовании облачных технологий. Эти проблемы непосредственно проецируются на использование упомянутых технологий при обработке ПДн и фактически делают их нелегитимными. Участники третей конференции “Защита персональных данных” с сожалением отметили отсутствие на пленарном заседании представителей ФСТЭК России, в компетенции которой находится регулирование технологических аспектов обеспечения ИБ, в том числе и ИБ ПДн.

На основании закона № 261-ФЗ “О внесении изменений в Федеральный закон “О персональных данных"” ФСБ России отныне осуществляет контроль за выполнением организационных и технических мер по обеспечению безопасности ПДн только в государственных ИСПДн в пределах своих полномочий (т. е. в тех из них, где применяются криптографические средства для защиты ПДн). Вместе с тем в законе есть и оговорка: контроль ФСБ может распространяться и на негосударственные ИСПДн по решению Правительства РФ с учетом значимости обрабатываемых ПДн.

В 2012г. ФСБ была назначена ведомством, ответственным за разработку проектов ряда нормативно-правовых документов, относящихся к ее компетенции и полномочиям в области защиты ПДн. При разработке этих документов ФСБ, как сообщил начальник управления 8 Центра этой организации Олег Залугин, ставила перед собой задачу повышения гибкости при определении операторами ПДн уровней защищенности в соответствии с конкретными условиями работы с ПДн. Проекты этих документов были размещены на веб-сайте ФСБ с таким расчетом, чтобы предоставить всем заинтересованным сторонам возможность обсудить их содержание до передачи на утверждение в правительство страны.

Принятые по данным проектам постановления Правительства РФ устанавливают четыре уровня защищенности ПДн и определяют соответствующие им требования к защите. Процедура определения уровня защищенности, зафиксированная в постановлении Правительства РФ № 1119, по мнению ФСБ, достаточно прозрачна и не должна вызывать у операторов ПДн затруднений. В ФСБ считают, что данное постановление также упрощает процедуру определения необходимых и достаточных мер по защите ПДн от неправомерного использования.

Согласно постановлению № 1119 одним из важных факторов влияния на определение уровня защищенности является актуальность угроз безопасности ПДн в каждом конкретном случае реализации ИСПДн. Важно, что такой подход может способствовать снижению уровней защищенности — например, для ИСПДн медучреждений, по оценкам г-на Залугина, до второго и третьего уровней в зависимости от актуальных угроз и объемов обрабатываемых ПДн.

Издание приказа ФСБ России о составе и содержании организационных и технических мер, необходимых для выполнения установленных Правительством РФ требований к защите ПДн для каждого из уровней защищенности и направленных на обеспечение безопасности ПДн при их обработке в ИСПДн, намечено на январь 2013 г.

В ФСБ считают, что изменения требований к ИСПДн не вынудит операторов, построивших свои ИСПДн с учетом требований утратившего силу постановления Правительства РФ № 781 от 2007г., вносить кардинальные изменения в системы ПДн; в большинстве случаев, по оценкам г-на Залугина, это вызовет лишь необходимость пересмотра документов, подтверждающих действенность принятых мер, и, возможно, внесения в них небольших корректив.

Операторам ПДн при модернизации (или построении) своих ИСПДн следует обратить внимание на результаты плановых проверок, выполненных ФСБ в 2012г., поскольку основные выявляемые нарушения повторяются из года в год. К таким нарушениям относятся следующие:

  • несоответствие используемых криптосредств тем классам, которые были определены в моделях нарушителя;
  • истечение сроков действия сертификатов на использование криптосредств;
  • отличие версий используемых криптосредств от тех, что проходили сертификацию в ФСБ.

ФСБ отмечает, что после выхода постановления Правительства РФ № 1119 актуализировались задачи, возлагаемые законом “О персональных данных” на федеральные органы исполнительной власти, осуществляющие контроль государственной политики и нормативно-правового регулирования в области защиты ПДн; госорганы субъектов России; Центробанк; внебюджетные и негосударственные организации, которые в пределах своих полномочий могут принимать нормативно-правовые акты, определяющие угрозы безопасности ПДн, актуальные для их видов деятельности. Без решения этих задач, т. е. без разработки отраслевых стандартизированных подходов к защите ПДн, трудно ожидать, что операторы быстро и эффективно приведут свои ИСПДн в соответствие с новыми требованиями.

Экспертное сообщество

В экспертном сообществе не прекращаются споры по поводу качества изменений, вносимых регуляторами в документы, регулирующие область обработки ПДн. Заместитель генерального директора по развитию “ЭЛВИС-ПЛЮС” Сергей Вихорев представил участникам конференции для ознакомления результаты проведенного его компанией анализа принятых в 2012г. документов, регулирующих сферу защиты ПДн.

Прежде всего он отметил, что новые постановления Правительства РФ соответствуют требованиям закона “О персональных данных” (если судить по обсуждениям ситуации в Интернете, с этим сегодня согласны далеко не все представители операторов ПДн), хотя и полностью меняют концепцию критериев выбора уровня защищенности ПДн.

Суть этих изменений в том, что если раньше классификации подвергались ИСПДн и соответственно определялись требования к защите (по сути, защите самих систем, а не ПДн), то в новой парадигме акцент сделан на выборе уровня защищенности именно ПДн (т. е. фокус перенесен на защиту ПДн как таковых, а не систем, в которых они обрабатываются). Г-Вихорев предполагает, что принципиальные изменения в подходе к выбору уровня защищенности потребуют “перестройки в умах” операторов ПДн, на что нужно будет время.

Солидаризируясь с позицией ФСБ в части ожиданий ведомственной активности в стандартизации подходов к защите ПДн, г-н Вихорев как первостепенную выделил здесь задачу разработки отраслевых моделей угроз и нарушителя. По его мнению, правительственные постановления без них вряд ли заработают. Отраслевые модели позволят операторам ПДн выбирать угрозы, типовые для их рода деятельности, и тем самым учитывать их актуальность при выборе уровня защищенности ПДн.

Существенную проблему, порожденную регулятивными новеллами, г-н Вихорев усматривает в использовании в них термина “недекларированные возможности” (НДВ), которого ранее в документах, регулирующих защиту ПДн, не было.

Ссылаясь на действующие ГОСТы, он подчеркивает, что НДВ нельзя отождествлять с уязвимостью программного обеспечения. Уязвимость — это дыра в ПО, которая дает пользователю возможность совершать непредусмотренные действия. НДВ тоже могут быть уязвимостью, однако не всякая уязвимость обусловлена НДВ. К тому же, чтобы воспользоваться НДВ как уязвимостью, злоумышленник должен обладать высокой квалификацией в программировании и ИТ и иметь доступ к закрытой информации.

Из изложенного г-н Вихорев делает вывод: использование НДВ — дорогой способ атаки, и большая часть угроз, связанных с ними, просто неактуальна, хотя более точные заключения по поводу включения НДВ в концепцию защиты ПДн он предлагает отложить до того времени, когда появятся отраслевые модели актуальных угроз.

По мнению г-на Вихорева, операторов ПДн ожидает подводный камень в виде п. 17 постановления Правительства РФ № 1119, согласно которому контроль исполнения требований к защите ПДн организуется и проводится операторами самостоятельно или с привлечением на договорной основе юридических лиц, имеющих лицензию по технической защите конфиденциальной информации. Он предупреждает, что пп. 2 и 4 постановления Правительства РФ от 03.02.2012 г № 79 оставляют ситуацию с контролем исполнения требований в части лицензирования этой деятельности в прежнем состоянии.

Г-н Вихорев обращает внимание на то, что пока в предложенных регуляторами документах нет требования по защите от побочных электромагнитных излучений и наводок (однако они могут появится в новых документах, разрабатываемых ФСТЭК и ФСБ), что операторы ПДн нуждаются в отраслевых моделях угроз, в определении состава и содержания организационных и технических мер по обеспечению безопасности ПДн. Его ответ на вопрос о том, что операторам делать сейчас, таков: ждать новых документов регуляторов.

Тем не менее, по мнению г-на Вихорева, операторам все же есть чем заняться и сегодня. По результатам оценок Роскомнадзора, у 70% операторов технические задачи защиты ПДн решены и только у 4% решены вопросы организационные. Но наиболее затратны как раз технические аспекты защиты. Если выполнение организационных требований поднять хотя бы до 60%, то, по оценкам г-на Вихорева, можно констатировать в стране адекватность защищенности ПДн реальным угрозам.

Отметим, что возражений г-ну Вихореву не последовало ни из зала, ни из президиума.