Защита персональных данных: паранойя или здравый смысл?

В случае сокрытия факта накажут и заставят выплачивать ущерб. В России мы идем гораздо более жестким путем.

Был принят формальный пакет нормативных требований от ФСБ, согласно которому все операторы персональных данных, не зависимо от их желания, обязаны выполнить набор рекомендаций.

Рекомендации сводятся к тому, что при проектировании ЦОДа нужно исходить не из требований производительности, а из того, что межсетевой экран должен иметь сертификат по третьему уровню защищенности и поддерживать разбор хотя бы одного протокола. Если у вас есть база данных, вы должны логировать все обращения к ней с установлением автора обращения и получателя запроса. Сейчас те, у кого стоит трехзвенка Oracle, должны испытать «радость» от мысли, что им придется логировать трехзвенный запрос каждого пользователя.

Каждый ЦОД должен быть снабжен IDS системой обнаружения вторжений сигнатурного уровня и поведенческого уровня, причем, и уровня сети, и уровня хоста. Если у вас есть передача персональных данных с внешних источников, вы должны поставить криптошлюз, сертифицированный, российского производства. Если обработка данных в ЦОДе идет со скоростью 10 гигабит/сек, то и шлюз нужно найти такой, который будет успевать (а таких шлюзов в природе не бывает).

«Когда мы вышли на уровень технологий, надо было тогда, в 2006 году задуматься, — говорит Михаил Емельянников, директор по развитию бизнеса компании «Информ-Защита». —  Я выступал в январе 2007 года, на следующий день после вступления в силу закона. Все, о чем мы сейчас говорим, специалисты знали еще в 2007 году, но мы говорим только сейчас. Потому что с 1 января 2010 года система Роскомнадзора и другие органы, включая ФСБ, придут ко всем с проверками выполнения закона.

План проверок по персональным данным можно найти на сайте Роскомнадзора. В 2009 году в их планах 3100 проверок. И придут они ко всем абсолютно, потому что если у вас есть на компьютере список личного состава сотрудников – это уже персональные данные, не говоря уже о бухгалтерской программе 1С. Как выполнять закон? Где провести границу между паранойей и здравым смыслом? Как оптимизировать расходы на строительстве и защите системы обработки информации».

Также возникают вопросы, типа: «а  что будет, если не выполнять закон?» На сегодняшний день уже один из крупнейших топ-менеджеров России дисквалифицирован за невыполнение закона о персональных данных, потому что, когда трудовая инспекция пришла и потребовала показать положение об обработке персональных данных за подписью всех сотрудников, а у них не оказалось, после длительной борьбы человек поехал обратно в Англию без права занимать руководящие должности в России в течении двух лет.

А если содержащая ЦОД компания не является лицензиатом СТЕК,  то ей придется им стать, как оператору персональных данных, иначе ей грозит 90-суточное приостановление деятельности за невыполнение закона. Плюс куча мелких штрафов.

Прецеденты уже есть: в республике Тува инспектором Роскомнадзора было заведено уголовное дело за незаконное предпринимательство. Поскольку техническая защита конфиденциальной информации является лицензированным видом деятельности и обязательна по закону, а занятие видами деятельности без лицензии в данном случае является незаконной, соответственно, деньги, полученные при занятии незаконным предпринимательством, являются полученными незаконно.

Роскомнадзор и ФСБ подтвердили свою твердую позицию о том, что, несмотря на усилия участников рынка, в частности, Ассоциации банков и других отраслевых объединений, по переносу сроков вступления закона в действие, закон вступит в силу с 1 января, и никаких переносов не предвидится. 

По оценке Роскомнадзора, который уже несколько лет проводит плановые проверки, наиболее плачевная ситуация сейчас наблюдается в секторе ЖКХ, особенно в единых информационно-расчетных центрах, работающих с населением.  Кредитные организации, которые до этого были под обстрелом, наконец зашевелились, они поняли, что Ассоциация банков не продавит перенос сроков вступления закона, и начали проводить комплекс мероприятий по приведению своих систем в соответствие.

Представители Роскомнадзора неоднократно заявляли, что они готовы вести диалог с представителями сообщества, и сейчас функции Роскомнадзора больше разъяснительная. По инициативе Роскомнадзора создана межведомственная комиссия, объединяющая представителей различных федеральных служб, в том числе и регуляторов, которая принимает пожелания и заявления от участников рынка, в том числе и от отраслевых объединений, по дополнениям и изменениям закона.

Что касается построения центров обработки данных с учетом требований закона, нужно отметить следующее:

Все средства защиты, которые будут защищать ресурсы, использующие персональные данные, должны иметь сертификаты регуляторов, СТЭК и ФСБ. При этом важно, что строить системы защиты и аттестовывать их в СТЭК могут только лицензиаты СТЭК, поэтому, если ваша компания планирует приводить свои системы в надлежащий вид собственными силами, она должна иметь соответствующие лицензии. Хотя сильные в этом плане компании могут собственными силами приводить свои системы к нужному виду, но нужно заняться еще и внутренней документацией, поскольку техническая составляющая будет вторичной. Хотя в СТЭК есть лицензия, которая предоставляет права проектировать, обслуживать и внедрять системы защиты, этот вопрос пока до конца не решен. Есть организации, которые очень неплохо осведомлены о требованиях обеспечения безопасности и которые могут позаботиться о решении этих вопросов сами.

Многие знают, что по документам СТЭКа персональные данные делятся на 4 категории: первая категория, это самая сложная – данные, по которым можно устанавливать интимные подробности жизни человека, это данные, относящиеся к здоровью, политическим и религиозным убеждениям. Вопрос о защите персональных данных первой категории сродни защите секретной информацией государственной важности. Те средства, которые должны защищать такие данные, примерно должны соответствовать этой категории по степени защищенности. При построении систем защиты персональных данных первой и второй категории вы столкнетесь не только с вопросами внедрения средств информационной безопасности, но и средств защиты от утечки информации по техническим каналам: побочное электромагнитное излучение и наводки, вопрос виброакустической защиты. Здесь в плане обеспечения защиты данных собственными силами вообще мало, кто справится и надо привлекать специализированные организации, которые будут ставить соответствующие генераторы шумов, фильтры на электросети и тд.

Категории персональных данных:

1 – специальные персональные данные, раскрывающие философские религиозные убеждения, состояние здоровья и интимной жизни, расовую, национальную принадлежность и пр.,

2 – данные, позволяющие идентифицировать личность и получить о ней дополнительные сведения,

3 – данные, позволяющие идентифицировать личность,

4 – обезличенные и общедоступные персональные данные.

Также в зависимости от категорий персональных данных и количества признака локальности обработки: до 1000 записей, от тысячи до ста тысяч и больше ста тысяч, или в пределах одного предприятия, в пределах муниципального образования, в пределах субъекта Федерации и  в пределах РФ в целом, определяется класс информационной системы от К1 до К4.

К1 – это уровень гостайны, соответственно, требования к системе именно такое.

К уровню К4 не предъявляется никаких требований по конфиденциальности, только по целостности и доступности.

Есть еще категория специальных персональных данных, они хороши тем, что для них нужна актуализация моделей угроз, и, исходя из этих моделей и здравого смысла, «поиграть» с набором технических требований.

К примеру, если у вас ЦОД находится на территории с километровым периметром, то уровень сигналов, принимаемых на границе этой зоны, будет гораздо ниже, чем описано в нормативах.

Или, если говорить о дата-центре на Варшавке 125, то выделить информативный сигнал в виде срабатывания клавиатуры сисадмина на одном из нескольких десятков тысяч серверов, наверное, довольно сложно. Это — описание актуализации угроз. И здесь можно решить многие вопросы не техническими средствами. Еще удобно строить дата-центры в бывших помещениях бомбоубежищ, у вас будет намного меньше проблем с законом.

Класс информационной системы может быть пересмотрен либо при изменении факторов, влияющих на обработку данных, либо при проведении квалификационных мероприятий по требованию регулятора. Это и есть параметры проверок.

Скажем, есть у нас система типа информационного портал предприятия. Здесь хранится: ФИО, номер кабинета, фото, номер телефона, должность сотрудника. Это информационная система какого класса, если там обрабатывается 30 тысяч записей? Если пойти в лоб, то можно смело заносить ее в К2. А если подойти к этому с точки зрения здравого смысла,  это список работников одного предприятия (признак локальности), цель обработки данных – идентификация работников одного предприятия. Это система К3 для идентификации личности на одном предприятии. Стоимость ее защиты понижается в 4-6 раз.

Были ли внесены изменения в этот закон?

Есть три Постановления Правительства, влияющие на применение закона. Постановление 781 – «Обеспечение информационной безопасности при обработке персональных данных» от 2007 года, которое определяет технические требования к защите информации в информационных системах. Еще одно Постановление 687 — от сентября 2007 года — «Об особенностях  неавтоматизированной обработки персональных данных», и Постановление Правительства «Об особенностях обработки биометрических персональных данных».

687е Постановление внесло сумятицу в умы людей, там написано, что нельзя считать автоматизированной обработку данных только на тех условиях, что данные находятся в автоматизированной системе. Вопрос чтения этого Постановления, на взгляд специалистов. Там написано, как только персональные данные выходят из автоматизированной системы на твердую копию, к ним применяются требования не 781го, а 687го Постановления. Это Постановление регулирует работу пропускной службы, как обрабатываются данные учета посетителей или данные в журналах учета успеваемости школьников. Кстати, согласно этому Постановлению, журналы успеваемости школьников вообще находятся вне закона, но никто не собирается выполнять требования этого Постановления.

Но пытаться уйти от технических требований 781го Постановления не удастся. Здесь кроме Постановления, есть нормативные требования СТЭК и ФСБ, они достаточно прозрачны.  Там сказано, что если у вас распределенная информационная система с интернетом вместо транспорта, вы должны принять набор мер, изложенные на десяти страницах.

Также надо помнить, что проверки Роскомнадзора будут проходить не только по списку тех, кто зарегистрирован на их сайте как оператор персональных данных, а по заявлениям граждан. Об этом заявила Лариса Васильева, представитель Роскомнадзора. Потому что, по данным Роскомнадзора, зарегистрированных предприятий-операторов около 64 тысяч, а по предварительным подсчетам их на самом деле от 3 до 6 миллионов. И проверок по обращениям граждан в 2009 году было в два раза больше, чем плановых. Граждане у нас обучаются очень быстро, и появляется новый сегментик бизнеса: можно сразу подать заявление в прокуратуру, сославшись на неправильную обработку данных человека, и потребовать компенсации как минимум морального ущерба.

Так что, надеяться на то, что к вам лично не придут, не стоит. Конечно, всех проверить не смогут физически, это неподъемная задача на сегодня, но гарантию, что не проверят лично вашу компанию, вам никто не даст.

По материалам панельной дискуссии в рамках конференции DatacenterDynamics 2009 с участием Михаила Емельянникова, Александра Соколова и Антона Даниленко