Защита персональных данных в финансовых организациях

Марк Дапра, заместитель председателя правления Банка "БНП Париба Восток"

Андрей Курило, заместитель начальника Главного управления безопасности и защиты информации Центрального банка России

Михаил Симаков, заместитель начальника отдела экономической безопасности, КБ "ЭКСПРЕСС-ТУЛА" (ОАО)

- Будет ли иметь положительный эффект отсрочка вступления в силу ФЗ-152 "О персональных данных"? Поясните, пожалуйста, свой ответ.

Марк Дапра: Необходимость отсрочки приведения информационных систем в соответствие требованиям законодательства (ст. 25 ФЗ-152) была обусловлена массовой неготовностью операторов персональных данных, в том числе и государственных учреждений, выполнять сложные и затратные требования по защите информационных систем. Кроме того, отсрочка дала время для серьезной и, надеюсь, продуктивной работы по совершенствованию закона.

Таким образом, при условии доработки действующего законодательства перенос сроков, несомненно, будет иметь положительный эффект.

Возможен и второй перенос сроков. Государственные учреждения (школы, больницы, предприятия ЖКХ и пр.) не смогут привести информационные системы в соответствие требованиям закона в установленные сроки в связи с тем, что в бюджете на этот год не предусмотрены необходимые расходы.

При этом маловероятно, что требования по защите государственных информационных систем будут смягчены настолько, что не потребуется финансовых затрат.

Андрей Курило: Эффект может быть при совпадении некоторых важных условий. Во-первых, необходимо не расслабляться, а настойчиво работать над реализацией требований норм действующего федерального закона. Направления работы определены - это либо прямое выполнение требований (рекомендаций) регуляторов, либо отраслевое регулирование по принципам, согласованным с регуляторами. Банковская система пытается идти по второй схеме. Но для этого требуется:

• ткорректировать наборы отраслевых требований, стандартов и рекомендаций (такие проекты сделаны, это большой тяжелый труд);
• согласовать эти документы и подходы с регуляторами. Такая работа проводится. Сначала мы вели эту работу в рабочем порядке, а сейчас уже направили материалы официально. Все зависит от реакции. Если да, то отраслевое регулирование пойдет, если нет, то все опять отложится в долгий ящик и мы придем к концу года с "разбитым корытом". Но я настроен оптимистично. Мы постарались учесть все возможные вопросы и ждем реакции.

Ситуация, правда, усложняется тем, что параллельно в рамках двух рабочих групп (по проекту законов "О персональных данных" и "Об электронной подписи") мы вынуждены прорабатывать очень сложные вопросы об информировании операторами ПД регуляторов о мерах безопасности (защитных мерах), механизмах совершенствования процедур сертификации, лицензировании деятельности и возможности использования на территории России импортных продуктов.

Положительным тут является то, что возник диалог заинтересованных сторон, а в ходе диалога, как известно, рождается истина.

Но на все это отведен только год работы, это очень мало, спать некогда.

Михаил Симаков: Отсрочка касается только исполнения требований в технической части (по ст. 25 закона), а в юридической и организационной плоскости никто "послаблений" не делал. Думаю, это даст небольшой положительный эффект. Выиграют в основном бюджетные организации – появилось еще немного времени, чтобы найти деньги для приведения ИСПДн в соответствие с требованиями 152-ФЗ. Все-таки прошлый год был очень тяжелым в финансовом плане, может быть, этот будет легче.

Есть еще один момент. Отраслевые министерства и ведомства, в том числе и Центробанк, разрабатывают свои стандарты и в них "впихивают" требования по персональным данным. Возможно, "законотворцам" удастся договориться между собой, и они начнут внедрять свои стандарты.

В одной телепередаче (да и не только) слышал, что для того, чтобы работал ФЗ-152, необходимо внести изменения примерно в 80 различных нормативных актов, но на сегодняшний день не изменено ни одного... Возможно, это произойдет в нынешнем году, хотя верится с трудом.

В то же время, думаю, в декабре выяснится, что многие организации не успевают выполнить требования закона и к 2011 г. и будут просить "еще годик-другой".

- Все признают, что закон требует доработок. Что, по вашему мнению, следует менять?

Марк Дапра: На мой взгляд, наиболее полный перечень необходимых доработок законодательства был представлен в рекомендациях парламентских слушаний Государственной думы. В этом документе я бы отметил следующее:

• уточнение области лицензирования деятельности по технической защите конфиденциальной информации;
• гармонизация с европейским законодательством (смещение акцента с защиты персональных данных на защиту прав субъектов персональных данных);
• предоставление коммерческим компаниям права самостоятельно определять методы и средства обеспечения безопасности персональных данных с учетом рекомендаций (не требований) отраслевых стандартов;
• упрощение процедур уведомления, получения согласия субъекта персональных данных и уничтожения персональных данных;
• определение порядка оценки адекватности защиты прав субъектов на территории иностранного государства при трансграничной передаче персональных данных.

Андрей Курило: Вопрос крайне сложный. Работает рабочая группа. Вмешиваться в ее компетенцию я считаю неверным. По-моему, нужно менять то, что невыполнимо. Например, прорабатывать вопрос с оперативным удалением данных. На практике это совсем не простая задача – как в случае использования бумажного хранения, так и в случае с базами данных. Там легко можно ошибиться и просто испортить информацию вообще. Также и с уведомлениями об обработке. Любое уведомление – это работа, письменное уведомление – это большая работа, вспомните письма, которые вам приходят из ФНС. А поток такого рода писем по проблеме ПДн будет больше и менее централизован.

Михаил Симаков: В существующем виде закон и "приложенные" у нему документы представляют собой огромное поле для разночтений. В полном соответствии с ФЗ "О персональных данных" и "приказом трех" практически ни одна система обработки ПДн не попадает под стандартные категории. Предлагается создать модель угроз и модель нарушителя, при этом стандартных шаблонов этих моделей, которые были бы понятны пользователям, нет. Считаю, что в подзаконных актах должны быть формулировки типа "по таким-то и таким-то характеристикам система обработки персональных данных попадает в такую-то категорию" без оговорок, что если нужно что-то еще защитить или сделать, то речь уже пойдет о специальной системе, которая не подходит под классификацию.

Для классов следует предлагать примерные схемы защиты. Именно "предлагать", а не навязывать в обязательном порядке. Руководитель организации (за редким исключением) должен сам решать, какие данные и как ему защищать, брать ответственность на себя.

Предлагаю в этом случае более широко применять "риск-менеджмент". Руководитель организации должен либо принять "риск", либо меры к его устранению или уменьшению. Вопрос о том, как и на основании каких нормативных документов рассчитываются риски, можно отдать на откуп хозяйственникам. Главное, если руководитель говорит: "У нас есть такие-то и такие-то риски... Эти мы принимаем и рискуем, а вот от этих защищаемся", то ответственность за такое решение должна быть очень строгой. В то же время совершенно не важно, кто и как просчитал эти риски.

Поясняю, если риски просчитаны неверно, значит, в организации плохие специалисты по безопасности и по IТ, если руководитель принял "не те" риски, значит ему плохо объяснили и виноваты те же специалисты и юристы компании. Если руководитель не считается с доводами своих или приглашенных специалистов, значит, он плохой руководитель или же защищает какие-то свои интересы.

Если же произошел инцидент, связанный с прогнозируемыми рисками, то расходы должен понести руководитель. Если случился форс-мажор и произошел инцидент, риск которого очень тяжело просчитать или вероятность которого крайне мала, придется с этим смириться и работать дальше.

В любом случае при таком подходе будет больше свободы и ответственности сотрудников.

В настоящее время наблюдается настоящая истерия по поводу персональных данных. Наверное, скоро в магазине при безналичной оплате заставят подписывать договор о согласии на обработку ПДн и паспорт сотруднику милиции будем давать только после подписания им заявления... Конечно, это шутка. Но таких "бумажек" становится столько, что невозможно отследить, кто, когда и для чего собирал информацию. И это надо тоже как-то регламентировать.

Фраза "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация..." (ст. 3 ФЗ-152) сильно "размыта". Например, фотография с фамилией – тоже персональные данные, а как быть с разыскиваемыми, награжденными и прочими лицами, фото которых мы видим на каждом шагу? У многих из них не спрашивают разрешения, да и невозможно это. Мало того, фото может служить однозначным свидетельством национальности, расовой, иногда и религиозной принадлежности. А такая информация уже должна защищаться на очень высоком уровне (что, конечно, невозможно).

В "приказе трех" есть классификация по количеству записей в защищаемой базе. Но ведь даже кража одной записи может привести к непоправимым последствиям для субъекта персональных данных. В то же время информация по одному субъекту может быть "вынесена" в голове сотрудника, который с ней работает. Это неразрешимая проблема, и что с этим делать, не знает никто (не вводить же тотальный контроль за всеми представителями операторов). Ну а кража 100 000 записей может ни к чему не привести (эти данные могут просто не иметь коммерческого спроса). Этот момент в законе и подзаконных актах вообще не проработан.

- Каковы самые распространенные проблемы, с которыми сталкиваются организации или столкнулась ваша организация при внедрении систем защиты персональных данных?

Марк Дапра: Наверное, самые распространенные проблемы при внедрении систем защиты персональных данных – необходимость использования отечественных сертифицированных средств защиты и аттестации информационных систем. Это зачастую требует радикальных изменений в бизнес-процессах организации, очень серьезных затрат и может не соответствовать интересам субъектов персональных данных.

Андрей Курило: Проблемы простые: неопределенность в мерах защиты, отсутствие рекомендаций, необходимость делать задорого двойную работу.

Михаил Симаков: Не открою тайны. Самая большая проблема – объяснить, для чего нужно дополнительно защищать персональные данные и почему в таком виде (с такими затратами), ведь мы и так защищаем конфиденциальную информацию, и "выбить" деньги на техническое перевооружение системы защиты информации.

Всегда считал и продолжаю считать: в организации должна быть единая строгая концепция (политика) защиты информации. В этой политике должен быть отражен единый курс защиты информации. Сегодня получается следующая картина: "гостайна" защищается одним образом, коммерческая тайна другим, ПДн – третьим, а надо свести все это к единой системе управления информационной безопасностью организации и в контексте этой системы осуществлять те или иные мероприятия.

А если будет принят какой-то "риск-подход" к персональным данным, не надо будет объяснять, почему стоимость защиты информации может превышать и стоимость информации, и денежную стоимость ущерба от ее потери.