Защита персональных данных: особенности контроля
Игорь Писаренко
к. т.н., доцент, заместитель начальника отдела
информационной безопасности
Управления обеспечения безопасности ВТБ 24 (ЗАО)
Itsec.Ru
ЗАЩИТЕ персональных данных граждан РФ в последнее время уделяется повышенное внимание и со стороны государственных структур, и со стороны коммерческих организаций. При этом здесь сходятся различные интересы: одни внедряют требования по защите персональных данных (ПД), определенные ФЗ "О персональных данных", постановлениями Правительства Российской Федерации и рядом других подзаконных актов органов исполнительной власти, вторые обязаны обеспечить их защиту, а третьи хотят на этом заработать.
Необходимость защиты персональных данных ни у кого не вызывает сомнений: периодически происходящие крупные утечки информации, мошенничество, связанное с использованием чужих ПД, стремление криминальных структур получить интересующую их информацию - все это действительно способно нанести немалый ущерб. Но, с другой стороны, есть информация, утрата которой вряд ли причинит кому-нибудь ущерб и которую мы, не задумываясь, спокойно предоставляем при покупке авиационных и железнодорожных билетов, бронировании гостиницы, да и во многих других случаях, когда требуются наши паспортные данные.
Проверки и противоречия
Сами требования по защите персональных данных, по оценке многих специалистов в области защиты информации, достаточно противоречивы, не всегда понятны, а в ряде случаев просто невыполнимы. Причем это касается не только организационно-технических мер, определенных документами ФСТЭК России, но и общих требований, установленных законом и подзаконными актами органов исполнительной власти.
На сегодняшний день процесс внедрения ФЗ "О персональных данных", и это совершенно очевидно, перешел из пассивно-декларативной в активно-контролирующую фазу. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), в соответствии со ст. 23 указанного закона, начала серию плановых мероприятий по контролю за соответствием обработки персональных данных требованиям законодательства РФ ряда крупных операторов ПД, в том числе таких, как "Райффайзенбанк", банк ВТБ 24, банк "Петрокоммерц", компания "Лукойл".
Сами мероприятия по контролю связаны, прежде всего, с проверкой учредительных и договорных документов, организацией обработки персональных данных, порядком их хранения, передачи и уничтожения. Большое внимание уделяется процедурным вопросам, определяемым законом, постановлениями и связанным, прежде всего, с фиксацией согласия субъекта на обработку своих ПД, со сроками их уничтожения, особенностями передачи третьим лицам, трансграничной передачи данных и т.п.
Организуя надзор и контроль за деятельностью в области обработки персональных данных, в соответствии с упомянутым ФЗ-152, и преследуя благие цели по обеспечению прав и свобод человека и гражданина при обработке его персональных данных, комиссия Роскомнад-зора в рамках программы мероприятия по контролю и сами проверяемые постоянно сталкиваются с неразрешимыми вопросами, сформулированными законодателем в ФЗ "О персональных данных".
Письменное согласие субъекта ПД
Краеугольным камнем закона, пожалуй, является согласие субъекта персональных данных в письменном виде на их обработку, передачу третьим лицам, обработку биометрических данных и т.д. Наверное, можно и нужно предусмотреть и собрать с клиента банка, его поручителей, клиента страховой компании, работника компании, посетителя поликлиники, студента учебного заведения и многих других все возможные согласия на передачу ПД (в бюро кредитных историй, в коллекторные агентства, в страховые компании, в туристические агентства, в компании, предоставляющие бонусы клиентам и т.д. и т.п.). Однако в случае каких-либо изменений (например, появится какая-то новая компания, предлагающая бонусы клиентам банка или осуществляющая заказ и бронирование билетов) брать у них каждый раз новые согласия будет весьма затруднительно. Еще одно согласие придется давать на принятие решения на основании исключительно автоматизированной (видимо, законодатель подразумевал автоматической, т.е. без участия человека) обработки персональных данных, так как подобные системы широко используются, например, в банковской деятельности (различные банковские, скорринговые системы).
Развитие систем предоставления клиентам дистанционных услуг с использованием сети Интернет, телефона и других электронных сервисов также приводит к существенным затруднениям в получении согласия в письменном виде. Человек, желающий стать клиентом банка, может заполнить анкету и отправить ее по сети Интернет для рассмотрения. При этом его персональные данные обрабатываются, по ним принимается решение "исключительно автоматизированной системой", они передаются в бюро кредитных историй, а его согласие на обработку и передачу данных будет получено только при подписании договора с банком. Можно, конечно, предложить использовать электронную цифровую подпись при работе с Интернетом, но здесь возникают проблемы организационно-технологического плана, связанные, прежде всего, с получением и использованием самой такой подписи.
А как быть с теми, кто не является клиентами банков, но пользуется, например, услугами международных денежных переводов, предоставляя и свои персональные данные, и данные получателя?
Трансграничная передача данных
Определенные вопросы возникают и в плане трансграничной передачи данных перевозчику или в гостиницу (при оформлении визы). В первую очередь, не совсем понятна норма закона, которая накладывает на оператора обязанность "убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных". Что такое "адекватная" защита и как оператор сможет убедиться в том, что она обеспечивается?
Далее ст. 12 ФЗ "О персональных данных" определяет, что трансграничная передача данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с данным законом. Многие граждане, отправляясь в зарубежные поездки, предоставляют ряду структур и организаций свои персональные данные, но вряд ли кто задумывается об их "адекватной" защите и своевременном удалении этой информации из соответствующих баз данных.
Другие вопросы, связанные с обработкой ПД
Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства Российской Федерации от 17.11.2007 № 781, определено, что все запросы и факты предоставления ПД должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений и периодически проверяться соответствующими должностными лицами оператора. Для крупных банков, количество клиентов которых исчисляется миллионами, а количество ежедневных запросов и фактов предоставления информации десятками и сотнями тысяч, требование регулярных проверок этих электронных журналов уполномоченными лицами просто физически невыполнимо.
Сложности возникают и при предоставлении информации в помещения, где осуществляется обработка персональных данных (а для банков это практически все служебные помещения), и лицам, доступ которых к ПД, обрабатываемым в информационной системе, необходим для выполнения ими служебных обязанностей (в крупных структурах за счет текучки кадров такой список будет утверждаться, видимо, каждый день), и по вопросам уничтожения персональных данных, которые могут храниться в резервных копиях.
Таким образом, проверки, несмотря на некоторую поспешность, с которой они проводятся (что может быть связано с желанием определенных структур во что бы то ни стало внедрить требования Закона "О персональных данных" в срок до 01.01.2010 г., в соответствии с п. 3 ст. 25 указанного закона), еще раз демонстрируют несовершенство действующего законодательства в области ПД и насущную необходимость внесения в него изменений с учетом реалий современного бизнеса, технологий предоставления услуг, в том числе дистанционных, особенностей передачи, хранения и уничтожения персональных данных.
Операторы проявляют сдержанность
Комментарий эксперта
Александр Андрущенко
директор направления ООО "ИНФОРИОН"
Все чаще операторам приходится задумываться о выполнении требований законодательства в сфере защиты персональных данных. Этому способствует целый ряд факторов, таких как ФЗ-152 "О персональных данных" и соответствующие постановления Правительства РФ, инициативы со стороны ИТ-подразделений, а также "сарафанное радио" в формате Интернет-форумов и блогов, на которых горячо обсуждаются проводящиеся и планируемые в будущем проверки со стороны уполномоченных федеральных органов исполнительной власти. По мере приближения установленной в законе "знаменательной" даты - 1 января 2010 г. - ситуация накаляется, и уже рекламный блок известной ИТ-компании в эфире одной из московских радиостанций призывает "выполнить требования ФЗ-152 к указанному сроку.
Опыт общения с представителями организаций, заинтересованных в защите персональных данных, показывает, что на фоне роста актуальности проблемы защиты ПД и необходимости выполнения требований законодательства большая часть операторов заняла выжидательную позицию. Почему? Да потому, что, с одной стороны, не выполнять требования действующих нормативно-правовых актов нельзя, с другой - этому препятствует целый ряд обстоятельств. Какие же это обстоятельства? Так, экспертное сообщество практически единодушно во мнении о том, что нормативная база по защите ПД в ее нынешнем виде требует определенных доработок, как минимум - устранения существующих противоречий. Кроме того, реализация всех требований по защите персональных данных влечет за собой значительные затраты, не заложенные в бюджеты операторов. Наконец, длительность прохождения всех необходимых процедур, связанных с организацией защиты персональных данных и разработкой СЗПД, в самом оптимистичном варианте развития событий составляет несколько месяцев. С сожалением приходится констатировать отсутствие баланса интересов субъектов ПД и операторов.
Все это приводит к тому, что активность операторов направляется по пути выполнения мероприятий с наименьшими затратами, проще говоря - к проведению предпроектного аудита и разработке отдельных документов по защите персональных данных.
Хотя руководители предприятий и ИТ-департаментов обнадеживают, говоря: "Мы покажем проверяющим, что работа в направлении обеспечения безопасности ПД ведется, а на основе результатов проверок будем строить дальнейшую стратегию действий".
О построении полномасштабной системы защиты в этих условиях, к сожалению, речи не идет.
Опубликовано:
Журнал "Information Security/ Информационная безопасность" #3, 2009