Защита персональных данных – вопрос поистине неисчерпаемый. Очередная тематическая конференция, организованная Академией информационных систем в рамках международного форума «Технологии безопасности», вновь оставила больше вопросов, чем ответов. Впрочем, это неудивительно – процесс адаптации требований законодательства к реалиям существующих инфраструктур и оргсистем операторов персональных данных только начинается.

Организаторы конференции обратили внимание слушателей на несколько аспектов, напрямую касающихся построения ИСПДн. Игорь Хайров, проректор Академии информационных систем, отметил, что сегодня организации имеют, как минимум, две возможности – строить систему собственными силами или привлечь лицензированные регуляторами компании.

Но и в том, и в другом случае необходим такой уровень компетенции внутренних специалистов, чтобы они могли оценить результаты выполненных работ. К сожалению, с этим пока не все гладко – зачастую компаниям проще понадеяться на авось – регуляторов мало, операторов много, с проверкой могут и не прийти – чем инвестировать в системы защиты ПДн и в обучение специалистов.

Кроме того, сама по себе защита персональных данных – это не только соответствующие средства, но и организационные мероприятия, обучение всех сотрудников компании. 80% надежности системы обеспечивается лояльностью сотрудников, да и вообще, в погоне за технологичными решениями влияние человеческого фактора склонны приуменьшать. А между тем обучение персонала, по мнению организаторов, способно существенно повысить итоговую эффективность системы.

Виктор Гаврилов, первый заместитель начальника управления 8 центра ФСБ России предостерег слушателей от неверного понимания последних изменений в 152-ФЗ – «годовая отсрочка, предоставленная законодателями, касается систем, которые были созданы до вступления в силу Закона о персональных данных. Если организация начала разработку ИСПДн после вступления в силу 152-ФЗ, она (организация) была обязана выполнить все требования законодательства изначально». Иными словами, на системы, созданные после 8 августа 2006г., отсрочка не распространяется.

Виктор Евдокимович также рассказал о том, что проверки систем обработки ПДн осуществляются вне зависимости от принадлежности операторов к государственным или коммерческим структурам. Во всех случаях проверяется соответствие закону правовой, организационной и технической составляющих систем защиты. Порядок проверок разработан, несколько организаций уже прошли соответствующую процедуру, правда, без оргвыводов и оформления итоговых документов.

Основной недостаток, выявленный по линии ФСБ, связан с использованием неэталонных образцов средств криптозащиты. Зачастую применяются средства криптографической защиты, не соответствующие сертифицированным образцам, или порядок их применения противоречит установленным в документации положениям. Иногда операторы персональных данных встраивают криптосредства в систему без учета влияния уже имеющихся технологий на само криптосредство, что приводит к появлению новых, недокументированных функций. В некоторых случаях работы по встраиванию криптосредств ведутся компаниями без соответствующих лицензий.

В помощь операторам ПДн ФСБ России выпустила два документа – «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных…» и «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств…» - оба документа размещены в открытом доступе на сайте Роскомнадзора. Эти документы не зарегистрированы в Минюсте, но существуют легитимные аналоги – приказ ПКЗ 2005 (N 66 от 9 февраля 2005 г.) и инструкция по эксплуатации средств криптографической защиты (Приказ ФАПСИ от 13 июня 2001 г. N 152). Оба приказа легитимны, и если организации будут придерживаться рекомендаций, изложенных в нормативных актах, претензий к ним не будет.

Виктор Гаврилов особо отметил, что, в соответствии с законодательством, средства криптозащиты должны использоваться в случаях, когда персональные данные передаются по незащищенным каналам, когда необходимо обеспечить авторство (ЭЦП) или когда защитить ПДн другими способами не удается. Иначе говоря, коренных изменений в практику использования криптосредств принятие поправок к 152-ФЗ не внесло – использование криптосредств вне случаев, регулируемых законодательством, не является и не являлось обязательным.

Докладчики не обошли вниманием основное противоречие, связанное с реализацией требований законодательства к ИСПДн. Нормативные акты приняты в интересах субъектов персональных данных, в то время как расходы по защите систем персональных данных несут организации. В этих условиях у компаний возникает объяснимое желание максимально оптимизировать затраты – представить данные как обезличенные, снизить класс данных и т. д. С другой стороны, невыполнение требований законодательства может нанести ущерб не только самому оператору, но и его партнерам, клиентам. Эти риски также необходимо учитывать.

Аудитория конференции в основном состояла из практикующих специалистов, потому неудивительно, что любые изменение модели угроз после закрытия уязвимостей и переквалификация системы по более низкому классу – вызвал острую реакцию со стороны регуляторов. Представители ФСТЭК и ФСБ напомнили, что закон действует в интересах субъектов ПДн, и использование заведомо неверной модели угроз эти интересы ущемляет. К тому же при проверке систем обработки персональных данных неадекватная модель угроз будет мгновенно выявлена.

Наряду с прочими, активно обсуждалась ситуация вокруг отраслевых стандартов ИСПДн, инициированных представителями телекоммуникационной, банковской сфер. По прогнозам организаторов конференции, в скором времени для банков выполнение стандартов ЦБ в области персональных данных будет приравниваться к выполнению требований законодательства. Естественно, для этого в стандарт центрального банка будут внесены соответствующие изменения. Соответствующая структура для проведения проверок операторов у Центробанка есть.

Александр Митрофанов, советник отдела Управления ФСТЭК России отметил, что вопрос об отраслевых стандартах находятся в стадии согласования, в какой-то мере отрасль будет осуществлять проверки самостоятельно, но в определенных пределах. Возможно, в случае применения типовых решений по согласованной методике представители отрасли будут проверять правила использования тех или иных средств защиты.