Перейти на Sec.Ru
Рейтинг@Mail.ru

25 марта 2015

Персональные данные: что было, что будет, на чем сердце успокоится… Часть 6. Основные проблемы. Заключение

Ксения Шудрова,
Специалист в области защиты информации,
shudrova.blogspot.ru

 

Первая часть статьи была посвящена обзору законодательства в области защиты персональных данных, вторая анализу закона «О персональных данных». В третьей части были рассмотрены основы классификации ИСПДн, в четвертой – защита с помощью криптографических средств, а в пятой – меры защиты. В заключительной части будет представлен взгляд автора на проблемы и перспективы отрасли.

 

Эту часть мне хотелось написать больше всего. Мы уже поговорили с вами о том, что было и что стало, настало время заглянуть в будущее. Наверняка, каждый специалист в области персональных данных знает, что в законодательстве есть слабые места, так называемые вопросы без ответа. Давайте обозначим основные проблемы защиты персональных данных:

  1. Автоматизированная или нет? Этот важный вопрос волнует многих – как понять, какая обработка ПДн на бумаге не попадает под действие федерального закона? В статье 1 ФЗ № 152 указано, что характер действий, совершаемых при неавтоматизированной обработке, должен быть аналогичен характеру действий с использованием средств автоматизации, иначе закон не распространяется. Безусловно, новая версия статьи лучше предыдущей – добавлены уточнения о картотеках и иных систематизированных собраниях данных, но на практике вопросы все же возникают. Операторам не хватает конкретных примеров. Остается экспертная оценка специалистов, которые стремятся к признанию обработки неавтоматизированной любой ценой.
  2. Что такое ПДн? Определение ПДн слишком широко [1]. Сколько раз мне задавали вопрос: «А это – ПДн?», столько раз приходилось отвечать: «Да». Под персональные данные может попасть абсолютно любая информация о человеке, а, значит, ее нужно защищать. Это порождает проблемы, например, приходится брать разрешение на публикацию служебного телефона и ФИО сотрудников на сайте предприятия, потому что такая информация уже является персональными данными. На мой взгляд, должен быть установлен минимальный набор, не подлежащий защите. Аналогично тому, как уведомление об обработке можно не подавать, если в базе содержатся только ФИО (ст. 22 ФЗ № 152).
  3. Что значит несовместимые цели? Законом запрещено объединение баз данных, обработка которых осуществляется в целях, несовместимых между собой (ст. 5 ФЗ № 152). Размытая формулировка специалистами обычно понимается так: «данные сотрудников хранить отдельно от данных клиентов». А может быть базы бухгалтерии отдельно от кадрового учета? Или данные для подачи в налоговую инспекцию отдельно от отчета в пенсионный фонд? Непонятно.
  4. Что выходит за рамки трудовых отношений? Одним из «поводов» обработки персональных данных являются договорные отношения с субъектом. В таком случае согласие не берется. Обработка данных работников в это исключение попадает, но не вся. Возникает вопрос: для каких целей согласие на обработку обязательно? Понятно, что оформление зарплатной карты – это уже не трудовые отношения (передача третьему лицу – Банку), а как насчет телефонных справочников, корпоративных сайтов в сети Интернет. Наконец, как быть с поздравлениями работников с днем рождения (ст. 6 ФЗ 152)? Брать согласие?
  5. Биометрия или нет? Обратимся к определению в законе. «Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных». Характеризует ли человека ксерокопия паспорта, пропуск на завод? На этот счет можно иметь разное мнение – разнящиеся выводы регулятора от проверки к проверке это подтверждают.
  6. Обрабатываем ли мы специальные категории? К примеру, что значит «данные о состоянии здоровья»? К таким данным можно отнести больничные листы с проставленным кодом заболевания или отметку об инвалидности (для получения льгот). Безусловно, ни один оператор не хочет обрабатывать специальную категорию, что приводит к появлению сокращений и условных обозначений в базах. Однако всегда есть таблица с расшифровкой этих кодов и обычно она хранится в этой же базе.
  7. Можно ли хранить данные за рубежом? Вопросы закона 242-ФЗ, который вступит в силу в сентябре, неоднократно обсуждались коллегами. Мне, как и многим, непонятно, каким образом будут работать авиакомпании, туроператоры, социальные сети и  почтовые службы. Достаточно туманно будущее иностранных облаков. Но довольно радужные перспективы у русских дата-центров.
  8. Как построить модель угроз? В Постановлении Правительства 1119 определено всего три типа угроз [2] и операторам предлагается на основании решения об их актуальности определить уровень защищенности ИСПДн. А от уровня защищенности в свою очередь напрямую зависит, какие меры защиты нужно принимать. Раньше все было просто – операторы руководствовались Базовой моделью угроз и Методикой определения актуальности угроз. Хотя эти нормативные акты и размещены на официальных ресурсах ФСТЭК, их актуальность под вопросом (в них присутствуют ссылки на классы ИСПДн, которые отменены).
  9. Какие документы нужно разработать? Операторам очень не хватает перечня необходимых для разработки документов с утвержденными формами. Можно ориентироваться на Постановление Правительства 211 в части перечня, но оно распространяется только на государственные и муниципальные учреждения. Хотя как справочный материал использовать приведенный список никто не запрещает.
  10. Как определить юридические последствия при обработке? Довольно сложно определить, когда возникают юридические последствия при обработке персональных данных (ст. 16 ФЗ № 152). Относится ли сюда, например, отчет пропускной системы об опоздавших сотрудниках, использование банковских программ принятия решения при выдаче кредита или обработка результатов экзамена? На мой взгляд, все эти случаи подходят, но вы можете со мной не согласиться и также будете правы.
  11. Как проводить внутренний контроль? Законодательно закреплена необходимость проведения внутреннего контроля обработки ПДн (ст. 18.1 ФЗ № 152). Однако что именно контролировать нигде не указано, нужен регламент.
  12. Как производить оценку вреда субъекту? Что будет, если утечет анкета клиента из магазина одежды? Как минимум покупатель получит непрошеные звонки, смс, e-mail от неизвестных фирм. Но каким образом и в каких единицах оценить этот вред – непонятно. Данный вопрос остается на усмотрение оператору (ст. 18.1 ФЗ 152). Можно попробовать использовать схему оценки степени ущерба субъекту аналогично требованиям приказа ФСТЭК № 17 при оценке степени ущерба организации – там в приложении приводится шкала с тремя значениями: высокая, средняя или низкая степень ущерба.
  13. Как оценить эффективность мер защиты? В «четверокнижии» были и аттестация и декларирование соответствия в зависимости от класса ИСПДн, но старые требования в прошлом (ст. 19 ФЗ 152). На сегодняшний момент аттестация обязательна для государственных информационных систем, остальным придется оценивать «на глазок», попутно сочиняя форму акта об оценке эффективности мер.
  14. Чем грозят нарушения? Это самый первый вопрос, который задает руководство специалисту по персональным данным. К сожалению, честный ответ на него заставляет задуматься, так ли уж необходимо их защищать. В статье 13.11 КоАП на сегодняшний день определены совсем уж мизерные штрафы, но специалисты уже несколько лет ждут поправок и возможно ответственность все-таки станет весомей. Также стоит отметить, что проверки ФСТЭК и ФСБ хоть и возможны (ст. 19 ФЗ 152), но крайне редки. А РКН техническую часть проверить не в силах. Моральный вред субъекту в случае чего оператор возместить обязан (ст. 24 ФЗ 152). Однако судебная практика по данному вопросу довольно скудная, а выплаты несущественны.
  15. Сколько стоит защита? Стоимость сертифицированных средств защиты информации – неподъемная для большинства маленьких организаций, особенно в условиях кризиса. Возможно, здесь уместнее было бы применять принцип – защищай, как хочешь, но отвечай, если утечка произошла.
  16. Какова судьба общедоступных точек доступа? Прошлым летом было утверждено Постановление Правительства № 758, в котором говорится о необходимости предоставления ФИО и реквизитов документа, удостоверяющего личность для подключения к сети Интернет с использованием средств коллективного доступа. Попадает ли под действие нормативного акта wi-fi в кафе? Скорее всего, да. Другой вопрос – как организовать хранение и защиту таких данных. На месте хозяина заведения гораздо проще точку доступа убрать.

Итак, основные проблемы мы с вами рассмотрели, безусловно, вопросов гораздо больше, чем ответов. Тема поистине неисчерпаемая. А учитывая постоянные изменения в законодательстве, можно сказать – вечная. Для субъектов ситуация становится лучше и сайтов, открыто размещающих базы данных, стало гораздо меньше. Операторы же пока наблюдают дефицит нормативных актов в части конкретных методик: оценки вреда субъекту, построения модели угроз, проведения внутреннего аудита. Интеграторы ждут увеличения ответственности за нарушения. Вполне возможно, что уже завтра в силу вступит новый нормативный акт и специалистам работать станет чуточку легче. Ну что ж, подождем!

 

________________________

[1] Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ № 152).

[2] Угрозы 1-го типа, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении. Угрозы 2-го типа, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении. Угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Просмотров: 1158

Мнения экспертов

Тема защиты персональных данных всегда будет актуальна. Поэтому данный цикл статей рекомендуется к прочтению специалистами служб информационной безопасности. И пусть наше законодательство все еще оставляет широкий простор для толкования средств и способов защиты ПД, статьи автора позволяют почувствовать себя более уверенно в тех документах по защите ПДн, которые существуют на сегодняшний день.

Эта часть статьи очень интересная и содержит в себе наиболее часто задаваемые вопросы по тематике защиты персональных данных. Автор постаралась ответить на них в доступной форме, причем опираясь на действующее в РФ законодательство. Думаю, что этот материал несет практическую ценность для специалистов по ИБ.

В работе рассмотрены основные вопросы и проблемы в области защиты и обработки персональных данных. Действительно на сегодняшний день вопросов больше чем ответов. Особенно актуальным является вопрос оценки степени ущерба субъекту персональных данных при их нарушении. Как оценить нарушения приватности частной жизни, персональных данных? Какими критериями? Чем больше будут обсуждаться подобные вопросы специалистами и регуляторами, тем эффективное законодательство в данной сфере мы получим. Стиль изложения материала больше похож на записи в блоге нежели на статью. Рекомендую к публикации на портале sec.ru.

В статье поставлен ряд разумных, но частных вопросов. Однако …

Закон «О защите персональных данных» появился в связи с требованием привести российское законодательство в соответствие с законодательством стран ВТО.

Но участие в Международной торговой организации пока приносит отечественной экономике только убытки.

Главной проблемой является то, что решение о законодательном контроле в сфере персональных данных было спущено сверху. Потому что, когда проблемы не вызрела на самом деле, она начинает решаться механистически – решение её идёт не от здравого смысла, а от необходимости соблюдать букву закона. В результате, проблема не столько решается, сколько, напротив, создаётся.

«Пятая колона» несколько лет молчит о необходимости сбора статистики инцидентов ПДн (количество нарушений, количество операторов , реальный ущерб) для количественной оценки реального риска и сравнения его с другими рисками ИБ.

Пока мы пережевываем в деталях никому, в общем-то, не нужный закон о персональных данных, навязанный каждой организации и каждому предприятию разгорячёнными стремлением быть в ВТО законодателями и регуляторами, увидевшими ещё одну возможность порегулировать, рядовой гражданин живёт под гораздо более опасными рисками, например,SCADA

Ваши комментарии:

Для того, чтобы оставлять коментарии, Вам нужно авторизоваться на Sec.Ru. Если У Вас еще нет аккаунта, пройдите процедуру регистрации.


Автор

Информация

  • Снимай крутую видеорекламу - выкладывай на Sec.Ru!

    Рекламный ролик - один из самых эффективных способов донесения информации. И он отлично подходит для рекламирования любой продукции, в т.ч. и продукции рынка систем безопасности.
    Поэтому редакция Портала решила составить свой рейтинг лучших рекламных видеороликов. Все они разные и все чем-то покоряют: красотой, задумкой, стилем съемки, посылом, необычным финалом.
    Некоторые из них язык не повернется назвать иначе как шедевром короткого метра. Смотрим, наслаждаемся, делаем заметки, учимся творить рекламу правильно.
    Если Вы хотите выложить видеоролик о своей продукции на Sec.Ru, пишите о своем желании на adv@sec.ru!

    Картинка: Jpg, 100x150, 16,47 Кбайт

    Мотор!

Отраслевые СМИ

Все права защищены 2002 – 2017
Rambler's Top100 �������@Mail.ru