Если на вашем предприятии имеются сотрудники, а так же есть компьютеры, обрабатывающие информацию о них, если вы на каком-либо компьютере храните базу данных клиентов – физических лиц, претендентов на работу или кого-либо еще, то, согласно положениям законодательства России, проводить техническую защиту таких сведений необходимо.
Исключение составляют сведения, полученные из общедоступных источников – решение о защите такой информации вы можете принять сами, но защищать её не обязательно. Важно, чтобы в случае возникновения инцидентов с проверяющими органами или владельцами персональных данных вы смогли доказать существование таких, общедоступных, источников.
Существует соблазн, и с такими случаями нам приходилось сталкиваться, когда сотрудников предприятия руководство настойчиво просило объявить данные о себе общедоступными, в надежде избежать затрат на проведение мероприятий по технической защите.
Ни в одном из случаев, как нам известно, не удавалось даже собрать согласия работающих сотрудников на такую общедоступность. С не работающих же сотрудников это сделать практически невозможно, а информацию о них хранить необходимо. Не стоит забывать и о том, что любой сотрудник сможет отозвать свое согласие когда угодно – и всё, затея провалится.
Еще стоит отметить, что государственный орган по защите прав субъектов персональных данных – Роскомнадзор, будет относится с повышенным интересом к таким странным желаниям граждан сделать свои данные общедоступными.
Очень важно, чтобы перед проведением мероприятий по технической защите вы убедились, что персональные данные обрабатываются законно. Как правило, это работа ваших юристов, или же это смогут сделать наши – по договору. Если законность обработки отсутствует, то правильная защита таких данных не убережет от исков граждан и санкций государства. Да и деньги будут потрачены зря.
А кто имеет право нас проверить?
Согласно действующему законодательству, полномочиями на проведение проверок в сфере технической защиты персональных данных наделены три государственных органа:
- Роскомнадзор – как орган, защищающий интересы граждан, носителей персональных данных;
- ФСТЭК России – как орган, регулирующий вопросы технической защиты информации в нашей стране;
- ФСБ России – как орган, регулирующий вопросы криптографии (шифрования) и как один из подписантов ряда основополагающих документов по технической защите, например тройственного приказа о порядке классификации информационных систем персональных данных.
Они же и являются регуляторами в данном вопросе – выпускают подзаконные акты и подготавливают постановления правительства.
Важно понимать, что защиту персональных данных государство отнесло к такому виду защиты, где нельзя проводить мероприятия и работы на свое усмотрение – надо обязательно руководствоваться нормативными документами.
Теперь о проверках.
Для государственных или муниципальных организаций справедливо, что любой из вышеперечисленных регуляторов может поставить организацию в план проверок. Такие планы доступны на сайтах регуляторов. Внеплановые проверки тоже возможны – по жалобам субъектов.
Для частных организаций не так – плановые проверки может проводить только Роскомнадзор, который, при необходимости, имеет право привлекать аккредитованные организации для проверки состояния системы защиты персональных данных в организации.
Список таких организаций можно увидеть на сайте этого регулятора.
При рассмотрении исков граждан к оператору персональных данных суд вполне может привлечь к проверке и остальных регуляторов.
А можем ли мы это сделать сами?
Да, на сегодняшний день не существует требований по привлечению специализированных организаций к проведению подобных работ. Любая организация может сделать это самостоятельно.
Однако практика показывает, что для информационных систем первого класса, по ряду работ обойтись своими силами не получится – это работы по измерению паразитных излучений и наводок и оформлению «предписания на эксплуатацию». Однако необходимость проведения таких работ есть у очень небольшого количества предприятий.
Если вы решите привлекать к проведению работ стороннюю организацию, то надо учитывать, что эта деятельность лицензируется. Организация – подрядчик обязана иметь действующую лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации.
Но это же очень дорого!
Привлекать или не привлекать подрядную организацию – это, как обычно, достаточно сложный процесс принятия решения, где у каждой из позиций есть свои плюсы и минусы. Вероятно, нужно найти некий баланс – с одной стороны привлечение сторонней организации стоит денег, с другой стороны, если не привлекать, а обходится своими силами, надо отвлекать на это своих сотрудников, которые, скорее всего, будут это делать в первый раз – а все ли правильно они сделают? А может привлечь стороннюю организацию для проведения какой-то части работ? В этом вопросе все достаточно индивидуально, что вообще характерно в деятельности по защите персональных данных
А можно ли дешевле?
Чтобы ответить на этот вопрос, давайте не будем забывать о том, что техническая защита персональных данных ни в коем случае не самодостаточна. Это одна из составных частей общего процесса. И именно понимание этого поможет сэкономить деньги.
Действительно, если мы рассмотрим структуру расходов предприятия на мероприятия по технической защите персональных данных, то увидим, что существует три основные «статьи расходов»:
- Расходы на документирование системы защиты персональных данных по требованиям ФСТЭК России.
- Расходы на обучение технических специалистов.
- Расходы на приобретение и установку технических средств защиты информации.
И если затраты по двум первым пунктам могут быть снижены, по большому счету, только путем ухудшения полученного в итоге результата, то по третьему пункту это не так.
И действительно, если совместно со специалистами юридической, режимной и иной направленности удастся сократить количество рабочих мест, за которыми ведется обработка персональных данных, оптимизировать маршруты и способы их электронного оборота, то возможна, и даже обязательно будет, существенная экономия на приобретении и установке средств защиты информации.
А будет ли это работать?
Любая техническая система работает только в том случае, если её используют в своей деятельности люди. Система защиты персональных данных не является исключением. Если установить систему, своими или привлеченными силами, и принять, что дело сделано, то такая система, скорее всего, будет работать не долго.
Эффективно система защиты может функционировать, если она является составной частью комплексной системы мер, построенной на предприятии. Когда есть ответственные должностные лица за ее работоспособность, наделенные полномочиями поддерживать систему в функционирующем состоянии. Когда обрабатывающий персональные данные сотрудник будет понимать меру своей персональной ответственности в случае нарушения режима обработки доверенной ему информации.
А какой толк от этого можно получить еще?
Все зависит от подхода.
Если стоит задача формального удовлетворения требованиям регуляторов, то, вероятнее всего, это и будет то, что вы получите.
Другой подход более сложен, но и результат совершенно иной.
Неформальная защита персональных данных, принятая как первый этап построения системы защиты коммерчески важной для предприятия информации – введения режима защиты коммерческой тайны. Об этом можно говорить много, но важно то, что с течением времени роль защиты подобной информации в повышении конкурентоспособности предприятий будет только расти.
Если привлечь стороннюю организацию, то удобно, помимо прочего, ввести в предмет договора проведение независимого аудита информационных ресурсов – в рамках построения системы защиты он так или иначе, но проводится. Можно получить объективную информацию о состоянии дел, например о соблюдении лицензионной чистоты, и много чего еще, что обычно представляют ИТ-службы предприятий, но, зачастую в выгодном для себя свете.
Так что надо делать в общих чертах?
- Мероприятия по технической защите персональных данных включить в общие мероприятия по приведению обработки персональных данных в организации требованиям законодательства.
- Необходимо назначить сотрудника или структурное подразделение, отвечающего за техническую защиту персональных данных.
- Принять решение о степени привлечения сторонних организаций.
- Обучить технических специалистов, даже в случае привлечения сторонней организации – построенную систему ведь нужно обслуживать.
- Провести обследование информационных ресурсов предприятия, чтобы понять – где и какие сведения сосредоточены, как они циркулируют и кто имеет к ним доступ.
- Провести оптимизацию количества обрабатывающих персональные данные рабочих мест и маршрутов их обращения в организации. Понижение категории обрабатываемых персональных данных очень важно, но не входит в мероприятия по технической защите.
- Провести классификацию выявленных информационных систем.
- На основании требований к подсистеме защиты, предъявляемых к тому или иному классу информационных систем персональных данных, провести и документально оформить предпроектные работы и мероприятия (по методикам ФСТЭК и ФСБ). Разбиение пунктов 7 и 8 носит весьма условный характер.
- Разработать должным образом и утвердить проект на подсистему технической защиты информационной системы персональных данных.
- Приобрести и установить необходимые, сертифицированные ФСТЭК, средства защиты информации, а также средства криптозащиты, имеющие сертификаты ФСБ России
- Ввести в эксплуатацию построенную подсистему. Документально оформить ввод.
- Разработать и довести до исполнителей необходимые инструкции.
- Произвести итоговую аттестацию подсистемы на её соответствие требованиям, предъявляемым к таким системам. Самостоятельно это сделать нельзя – обязательно привлечение организации, имеющей лицензию ФСТЭК на проведение мероприятий по технической защите конфиденциальной информации. Это не является, в большинстве случаев, необходимым. Однако известны случаи, когда такие требования устанавливаются органами местной исполнительной власти, или же, вполне возможно, отраслевыми стандартами.
- В случае не проведения итоговой аттестации включить в общую «декларацию о соответствии» сведения о предпринятых мерах в области технической защиты.
- Включить необходимую информацию о принятых мерах в уведомление, подаваемое в Роскомнадзор. Разумеется, в случае подачи такого заявления (отсутствие необходимости подачи уведомления не освобождает от необходимости защиты персональных данных, в том числе и технической).
На постоянной основе обеспечивать работоспособность подсистемы защиты персональных данных. Для этого можно использовать как собственные кадры, так и привлеченную организацию. Лучше всего комбинировать – например, обучить своих специалистов и вменить им в обязанность ежедневную работу, а периодические проверки проводить силами привлеченной организации – лицензиата ФСТЭК.
Станислав Евгениевич Фомин,
заместитель директора ООО «РЭАЦ «Эксперт»