Фактическая защищенность персональных данных на предприятиях с различной формой собственности

В последнее время тема персональных данных (ПДн) очень активно обсуждается среди специалистов заказчиков и подрядчиков, регулярно проводятся семинары и конференции с участием представителей ответственных органов исполнительной власти, выходят новые статьи по данной тематике. Кроме того, тема персональных данных стала определенным флагом, под которым пройдет рынок информационной безопасности в 2009 г. В таких условиях, наверное, сложно сказать или добавить чего-то нового. Тем не менее, несмотря на такой повышенный интерес к проблематике персональных данных, обсуждения носят в большей степени теоретический характер.

Опыт реализации проектов по персональным данным показал, что многие компании, несмотря на различный вид деятельности и форму собственности, объединяет определенная похожесть в части процессов обработки персональных данных и обеспечения их защиты. Другими словами, среди операторов ПДн можно выделить несколько типов и дать по ним достаточно четкую оценку, которая позволит более конкретно взглянуть на решение соответствующих задач.

Операторы ПДн, осуществляющие обработку персональных данных только своих сотрудников

Это коммерческие или государственные (в том числе муниципальные) организации, которые в рамках своей деятельности не оказывают услуги или не взаимодействуют с физическими лицами. Таких операторов ПД наверняка будет большинство, и можно сказать, что в части удовлетворения требований законодательства по ПД им повезло больше всех (в прямом смысле этого слова). Причин такого оптимизма несколько. В первую очередь это определенные "послабления" в рамках организационно-правового поля, а точнее в рамках ФЗ-152.

Начнем с получения согласия. В соответствии с требованиями Трудового кодекса любая компания с каждым своим сотрудником подписывает трудовой договор. Это уже является определенной формой согласия на обработку ПД сотрудника, и в соответствии с пунктом 2 части 2 статьи 6 ФЗ-152 дополнительного согласия не требуется. Аналогично можно прокомментировать требование по подаче уведомления о начале обработки ПДн. Так как обработка ПДн ведется в рамках трудовых взаимоотношений, то в соответствие с пунктом 1 части 2 статьи 22 ФЗ-152 оператор вправе осуществлять ее без уведомления уполномоченного органа по защите прав субъектов персональных данных. В этом случае внимание к такой компании или организации со стороны регулирующих органов будет значительно ниже.

В части реализации "технических" требований тоже не возникает серьезных затруднений: для большинства таких операторов это достаточная типовая область работ или объект. В организационном плане это, как правило, 3 вида подразделений, участвующих в обработке персональных данных сотрудников: отдел кадров или персонала, отдел труда и заработной платы, бухгалтерия. Они по-разному могут быть представлены в различных компаниях и организациях, но бизнес-процессы, которые они обеспечивают, остаются практически всегда неизменными. В техническом плане такой объект чаще всего включает в себя от 10 до 100 рабочих станций, несколько серверов и бизнес-приложения типа 1С, БОСС-Кадровик, SAP HR и другие. Получается, что область работ, а в конечном счете и ИСПДн, не так глобальна, и это далеко не вся компания. Что касается классификации ИСПДн и непосредственно требований по обеспечению защиты ПДн, то здесь зачастую таким системам присваивается 3-й класс, так как, согласно "трехглавому" Приказу о классификации, Хпд=2, то есть 2-я категория персональных данных, Хнпд=3, то есть обрабатываются персональные данные субъектов в рамках одной организации. Отсюда все вытекающие последствия/преимущества. Аттестация такой ИСПДн по требованиям безопасности информации не обязательна, а если она еще и локальная, то не надо получать и лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. В результате вся защита сводится к разработке минимально необходимого набора документов и внедрению нескольких сертифицированных средств защиты в части соответствующего сегмента сети.

Здесь может возникнуть логичное возражение, что такие компании вряд ли будут озадачиваться решением данных проблем. Не буду приводить теоретических доводов, скажу, что на практике, как ни странно, таких заказчиков как минимум не меньше половины. А причин тому несколько. Во-первых, с них никто не снимает ответственности за исполнение данного закона, они являются такими же операторами ПДн, в том числе с автоматизированной обработкой; во-вторых, затраты на его исполнение получаются вполне посильные, то есть результат снижения юридических рисков вполне оправдывает вложенные средства.

Операторы, обрабатывающие ПДн клиентов

Это компании и организации, которые оказывают услуги и взаимодействуют с физическими лицами. Классические представители данного типа операторов - банки, страховые компании, негосударственные пенсионные фонды, энергосбыт и т.д. Конечно же, эти компании уникальны в своих процессах обработки ПД, даже зачастую и в рамках одной отрасли, но есть как минимум один признак, по которому их можно объединить. Это территориальная распределенность. Действительно, такие операторы ПДн в процессе своего развития сильно разрастаются географически, пытаясь охватить максимальное количество клиентов, которые являются их источником дохода. Причем, несмотря на значительные масштабы компаний, процессы и системы, в том числе обработки ПДн, за редким исключением построены по одному стандарту или типу, то есть достаточно типизированы. Поэтому в рамках проекта по персональным данным нет смысла охватывать сразу всю компанию, а достаточно выделить определенную пилотную зону, где эти процессы и системы являлись бы уникальными, но были типовыми в масштабах всей компании. Такой пилотный проект позволит не только достичь достаточно стандартного преимущества - снижения рисков при масштабировании, но и значительно снизить затраты, выработав типовые решения (как организационные, так и технические) по защите персональных данных, которые относительно легко можно распространить далее.

Иностранные компании

Речь идет о полноценных филиалах зарубежных компаний с образованием юридического лица на территории Российской Федерации. Данный вид операторов не совсем укладывается в рамки вышеописанной классификации, так как может принадлежать как 1-му, так и 2-му типу, но заслуживает отдельного внимания. Отличительной особенностью таких операторов является то, что довольно часто требования по ИТ и ИБ "спускаются" из головного офиса за границей. В связи с этим возникает проблема использования сертифицированных решений по информационной безопасности, как правило, российского производства вразрез корпоративным стандартам. В такой ситуации можно пойти по пути сертификации существующих средств защиты, что является весьма длительным и дорогостоящим решением, либо использовать "рядом", не заменяя текущей системы ИБ, сертифицированные продукты с обоснованием перед головным руководством требований местного законодательства. Также нередко такие операторы осуществляют трансграничную передачу персональных данных, но, несмотря на "раздутую", на мой взгляд, проблему, на поверку решение данного вопроса является не таким сложным. Действительно, как и многие другие статьи Федерального закона "О персональных данных", статья по трансграничной передаче имеет как часть с обязательным требованием, в частности, обеспечения адекватной защиты прав субъектов ПД, так и с исключениями, под которую можно подвести значительную часть процессов обработки ПДн. Даже если это невозможно, можно опираться на прецедент, связанный с работой соответствующей комиссии Ассоциации российских банков (АРБ). На запрос данной организации был получен официальный ответ от Роскомнадзора с разъяснением пунктов закона, касающихся адекватной защиты прав субъектов ПД при трансграничной передаче. Ответ носит достаточно туманный характер в правовом смысле, но содержит официальное мнение данного органа исполнительной власти, на которое можно опираться при решении спорных вопросов с регуляторами. С текстом этого письма можно ознакомиться здесь: http://www.arb.ru/si-te/docs/docs.php?doc=746.

Холдинговые структуры

В данном случае под холдинговой структурой понимается совокупность юридических лиц, имеющих единую основу и управление, в том числе и в вопросах ИТ и ИБ. Типовая проблема в таких компаниях при реализации требований по персональным данным - это то, что каждое юридическое лицо является оператором ПДн. В этом случае оптимальный подход выглядит следующим образом. В рамках холдинга формируется единая ИСПДн, объединяющая информационные системы юридических лиц, имеющие единые цели обработки ПДн и общую инфраструктуру. Как результат - единая система защиты ПДн, за счет чего достигается оптимизация затрат на ее построение и сопровождение (может осуществлять внутренний ИТ-аутсорсер или управляющая компания). Тем не менее у каждого оператора должен быть выполнен перечень организационно-правовых мероприятий и разработан собственный комплект организационно-распорядительной документации, регламентирующей вопросы обработки и обеспечения безопасности ПДн. Для оптимального решения озвученных задач можно также применять тактику пилотных проектов и дальнейшего масштабирования типовых организационных и технических решений.

В заключение хотелось бы порекомендовать тем операторам, которые находятся в начале пути, не поддаваться панике и не опускать руки в надежде на "авось пронесет", а сначала разобраться в ситуации и провести минимальную оценку (возможно, даже самостоятельными силами). В результате может оказаться, что масштабы "бедствия" не так велики, а вполне посильны и реализуемы.

Тема защиты ПДн является на данный момент одной из самых актуальных и обсуждаемых. Только, к сожалению, чаще всего разговор ведется о теоретических аспектах организации работы с ПДн. Операторов же волнует, прежде всего, практическая сторона решения вопросов, то есть как организовать работу с ПДн в соответствии с требованиями законодателей в их компаниях. Естественно, речь не идет о крупных операторах банковской или страховой сферы, они уже достаточно хорошо подкованы и активно занимаются вопросами, связанными с организацией работы с ПДн. А вот, например, в сфере туризма дело обстоит из рук вон плохо. На вопрос о том, как обеспечивается защита ПДн клиентов в их компаниях, ответ один: "А нас это не касается". Такой реакции вполне можно было бы ожидать в 2007 г. сразу же после выхода ФЗ "О персональных данных", но никак не сейчас, когда уже проходят проверки регуляторов в сфере ПДн. К тому же многие операторы забывают, что главная цель исполнения законодательства в этой области - защита прав и свобод человека и гражданина при обработке его ПДн, - другими словами, защита именно клиента как субъекта персональных данных. А уверенность клиентов в безопасности их ПДн - это большой плюс для создания положительной репутации компании.

Конечно, сегодня найти курсы или семинары по соответствующей тематике не составит большого труда, однако чаще всего обучение на них не дает никакой гарантии, что полученная информация будет актуальной и поможет в дальнейшей практической деятельности. Поэтому хотелось бы обратить внимание на курс "Организация работы с персональными данными" Московского технического университета связи и информатики (МТУСИ). Его программа соответствует не только реальным потребностям операторов, но и согласована с Минкомсвязи России, Федеральным агентством связи России, ФСБ России, ФСТЭК России.

Если говорить о нескольких типах операторов ПДн, то все организации, которые в процессе своей деятельности имеют дело с информацией персонального характера, по нашему мнению, можно условно разделить на: - операторов, обрабатывающих только данные своих сотрудников; - операторов, которые помимо ПДн сотрудников обрабатывают и ПДн клиентов. При этом организационно-правовая форма компании, территориальная распределенность представляются хотя и безусловно важными факторами при построении системы организации работы с ПДн, но все же на первых этапах выполнения требований законодательства в области ПДн и требований регуляторов играют далеко не первостепенную роль.

Прежде всего, компании-оператору ПДн предстоит провести информационное обследование организации на предмет исследования бизнес-процессов работы с ПДн. Главной целью такой деятельности будет изучение и описание всех процессов работы с ПДн, составление перечня ПДн, определение категорий субъектов, их объема, круга лиц, обрабатывающих ПДн субъектов, и действий, совершаемых в процессе обработки ПДн субъектов, соответствие способов обработки персональных данных целям обработки ПДн. Только тогда возможно будет сделать вывод, какие организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий должен предпринять оператор.