"Непарадное интервью": вопросы защиты информации в Пенсионном фонде РФ

На вопросы редакции отвечает Андрей Фейзрахманов, консультант отдела защиты информации и архивирования, Пенсионный фонд РФ, ИЦПУ (Федеральное учреждение "Информационный центр персонифицированного учета").

- В чем особенности защиты конфиденциальной информации в Пенсионном фонде РФ?

- Основная особенность - большое количество разнообразных информационных систем (как с конфиденциальной информацией, так и с общедоступной), которые проектировались в разное время и выполняют разнообразные функции по определенным задачам. Эти системы были произведены разными исполнителями и в них на то время не предусматривались общие принципы управления и защиты информации. Поэтому сейчас для их работы приходится задействовать значительные людские и временные ресурсы. Многие задачи все еще не автоматизированы, и выполнять их приходится "вручную".

- Как в вашем фонде решаются задачи защиты персональных данных?

- Периодически проводится аттестация информационных систем на соответствие требуемым уровням защиты, разрабатываются внутренние документы по защите информации с учетом особенностей информационных систем, определяется порядок доступа, резервирования и т.п.

К сожалению, отсутствие единой системы электронного документооборота увеличивает время на получение руководящих документов, согласование разрабатываемых инструкций, отслеживание выполнения поручений, получение требуемых для работы документов из архива.

- Каковы планы в сфере защиты информации на ближайшее время?

- Прежде всего, внедрение полноценного электронного документооборота, принятие общей концепции управления информационными системами и средствами защиты информации, а также введение системы жизнеобеспечения всех систем (защита информации, ИТ, контроль доступа, видеонаблюдение и т.п.) с единым центром управления и контроля.

- Есть ли противоречия между нормативными документами, регулирующими деятельность пенсионных фондов, и ФЗ-152 "О персональных данных"?

- О таких противоречиях я не знаю, но хотел бы несколько слов сказать о законодательстве в сфере защиты информации вообще. К сожалению, в ФЗ "О персональных данных" государственные информационные системы персональных данных исключены из списка информационных систем, которым необходимо посылать уведомление в надзорный орган (п. 2.7, ст. 22). Вследствие этого Роскомнадзор не имеет сведений об этих операторах персональных данных для их проверки. Лицензию на деятельность по технической защите конфиденциальной информации государственным организациям также получать не требуется, так как они не занимаются предпринимательской деятельностью. Получается, что регуляторы - Роскомнадзор, ФСТЭК и ФСБ России их проверять также не могут. А именно в государственных информационных системах хранится наибольшее количество персональных данных, и утечки из данных ИС могут нанести населению и государству наиболее крупный ущерб.

Не секрет, что именно в государственных структурах требуются наибольшие затраты на защиту информации и приведение информационных систем в соответствие с требованиями законодательства по защите информации. Но строгость законов обычно компенсируется меньшей строгостью проверок государственных структур: для комплексной проверки требуются значительные временные затраты и людские ресурсы, а также частое взаимодействие проверяющих и проверяемых.

Такое исключение, сделанное в законе для государственных и федеральных информационных систем, уже неоднократно приводило к значительным утечкам (налоговая инспекция, операторы сотовой связи, Банк России и др.), сведения о которых были опубликованы в средствах массовой информации. А сколько утечек из других информационных систем произошло или будет происходить, остается только гадать.

Хочу также упомянуть нормативные документы ФСТЭК, позволяющие оператору самостоятельно определять класс информационной системы персональных данных (Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"). Понятие "специальная информационная система персональных данных" позволяет оператору присвоить своей системе любой класс и занизить необходимый уровень защиты.

Можно долго распространяться о расплывчивости понятия ПДн в ФЗ "О персональных данных". Скажу лишь, что более четкое и полное определение помогло бы организациям и гражданам правильно классифицировать персональные данные и решило бы множество проблем.