Николай Антипов: «Защита персональных данных – двигатель рынка ИБ в России»

— И вновь про новую редакцию: прошел почти год с ее выхода, как
нововведения отразились на операторах?

— Да,
действительно, 25 июля исполняется ровно год с подписания поправок и вступления
их в силу. Некоторые из них облегчили жизнь операторам персональных данных,
например, расширение перечня законных оснований обработки персональных данных.
Но в целом, требования ужесточились. При этом критичных изменений еще не
произошло, поскольку регулирующими данную сферу деятельности органами пока еще
не были разработаны документы, регламентирующие данные нововведения. Например,
поправками было введено понятие «уровни защищенности», которые должны прийти на
смену классам. Проект Постановления Правительства «Об установлении уровней
защищенности персональных данных при их обработке в информационных системах
персональных данных в зависимости от угроз безопасности этих данных» был
представлен только весной и пока не утвержден. Соответственно, нет пока и
требований безопасности, предъявляемых к уровням защищенности. Также не были
определены угрозы безопасности в зависимости от сферы деятельности операторов,
новые регламенты осуществления проверок операторов, не разработаны требования к
материальным носителям персональных данных.

— Как обстоят дела с информированностью в вопросах защиты ПДн?

— С каждым годом ситуация становится все лучше и лучше, и это закономерно. О
персональных данных и необходимости их защиты знает подавляющее число граждан,
чему немало поспособствовали громкие скандалы, связанные с утечками
персональных данных и последующими разбирательствами. Нет худа без добра, и
когда такое происходит, волей-неволей появляется желание обезопасить свою
личную информацию и узнать о том, как это можно сделать.

— Какие основные трудности возникают у операторов ПДн в ходе реализации
проекта по защите ПДн? Какие рекомендации Вы можете дать?

— Во-первых, это трудности, связанные со сбором данных об информационной
системе и особенностях обработки персональных данных. Получить информацию
технического характера, как правило, не составляет большого труда. А вот
проследить за  движением персональных данных порой бывает не просто – для
этого нужно взаимодействовать с различными департаментами и отделами,
сотрудники которых не всегда готовы предоставить требуемую информацию. Поэтому
для эффективной реализации проекта рекомендуется, чтобы его курировало
должностное лицо, имеющее необходимые полномочия и влияние, а также, чтобы
руководители подразделений, в которых обрабатываются персональные данные, были
в курсе осуществления такого проекта.

Во-вторых, нередко возникают вопросы по внедрению разработанного комплекта
документов и средств защиты информации. Решением является проведение
инструктажей для работников оператора, задействованных в обработке и защите
персональных данных, в ходе которых разбираются все имеющиеся вопросы.

Наконец, контроль выполнения установленных требований по защите персональных
данных и ведение документации: регистрация обращений субъектов и надзорных
органов, проводимых мероприятий, заполнение журналов, периодическая
актуализация информации. Эта деятельность полностью осуществляется оператором.
К сожалению, очень часто разработанная документация убирается в сейф, да так
там и остается до момента проверки регулирующими органами. И это сводит на нет
все усилия по внедрению системы защиты персональных данных.

— Что сейчас происходит в данной сфере?

— За прошедшие шесть месяцев произошло достаточно много событий,
заслуживающих внимания:

—          в феврале вышло
Постановление Правительства (далее ПП) № 79 «О лицензировании деятельности по
технической защите конфиденциальной информации», заменившее ПП № 504;

—          в апреле вышло ПП №
313, описывающее порядок лицензирования деятельности, связанной с
криптографией;

—          в марте в силу
вступил новый руководящий документ (далее РД) ФСТЭК России, устанавливающий
требования к системам обнаружения вторжений (СОВ), а также вышло ПП № 211,
утвердившее перечень мер по защите персональных данных для государственных и
муниципальных органов;

—          вышли проекты ПП об
установлении уровней защищенности и требованиях, предъявляемых к ним;

—          ФСТЭК России
готовится целый ряд новых РД, посвященных антивирусным средствам, DLP-системам,
средствам доверенной загрузки, средствам двухфакторной аутентификации,
средствам контроля съемных носителей.

Обновление базы нормативно правовых и руководящих документов, которого все
давно ждали, началось. Будем надеяться, что это позволит вывести сферу защиты
информации РФ на новый уровень.

— Как направление защиты ПДн влияет на сферу ИБ России в целом?

— Федеральный закон «О персональных данных» дал мощнейший толчок развитию
информационной безопасности в РФ в первую очередь из-за того, что затрагивает
все без исключения организации, которые стали задумываться о безопасности
обрабатываемых  персональных данных. Вслед за организациями вопросу
безопасности личной информации стали уделять внимание и обычные граждане, что,
учитывая темпы роста числа киберпреступлений, особенно актуально. Также 152-ФЗ
дал толчок развитию отечественного рынка средств защиты информации (из-за
требования использовать средства, прошедшие процедуру оценки соответствия), что
позволило существенно улучшить их качество и функциональность за последние
годы. Поэтому можно с уверенностью утверждать, что в
течение последних нескольких лет и до сих пор направление защиты персональных
данных является двигателем рынка информационной безопасности РФ.