Распечатать

PCWEEK, № 36, 2006

Безопасность персональных данных в бизнесе.

15 октября 2006

Безопасность персональных данных в бизнесе

27 июля В. В. Путин подписал закон “О персональных данных”, защищающий приватную информацию граждан и устанавливающий ряд новых требований к российскому бизнесу. Каковы последствия этого закона для отечественных компаний? Какие меры им следует предпринять и сколько времени на это выделено? Данная статья призвана дать ответы на все эти вопросы.

Сегодня уже никого не удивить приватными базами данных, которые предлагаются на каждом углу. Граждане уже привыкли к тому, что всё продается и всё покупается. Так, в конце августа неизвестные лица предлагали в Интернете за 90 тыс. руб. базу кредитных историй 700 тыс. россиян. Буквально десять дней спустя на прилавках радиорынка в Митине появилась база 3 тыс. неблагонадежных заемщиков банка “Первое ОВК” (поглощен Росбанком в 2005-м). Продавцы просили за CD с этой информацией всего 900 руб. и обещали уже в ближайшие месяцы выбросить на рынок полную версию базы “Антикредит”. На этот раз уже с данными о 3 млн. граждан.

Новые правила ставят вне закона торговлю приватными базами данных, обеспечивают контроль над оборотом личных сведений граждан и требуют от организаций обеспечить защиту персональных данных служащих и клиентов.

 

Мы не будем пытаться выяснить, как могла произойти утечка всех указанных баз и кто в этом замешан. Давайте лучше рассмотрим правовое поле, которое начало меняться после того, как Президент РФ подписал закон № 152 — ФЗ “О персональных данных”. Этот нормативный акт был опубликован 29 июля, а в силу вступит 30 января следующего года. Новые правила ставят вне закона торговлю приватными базами данных, требуют от организаций обеспечить контроль над оборотом личных сведений граждан и защиту персональных данных служащих, клиентов и т. д. Пока что у бизнеса есть время проанализировать требования закона и принять меры, которые позволят подойти к новым нормативным рискам во всеоружии.

Что такое персональные данные?

Согласно ФЗ под персональными данными понимается “любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)”. В качестве примера таких данных закон приводит ФИО, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы и другую информацию. Чтобы не путаться в терминологии, отметим, что далее в статье в качестве синонима этого понятия будут использоваться такие словосочетания, как приватные сведения, личная информация и т. д. Во всех этих случаях речь пойдет именно о персональных данных, защищаемых новым федеральным законом. Следует обратить внимание, что российские законодатели сделали категорию персональных данных максимально широкой. По мнению экспертов из компании InfoWatch, специализирующейся на защите бизнеса от утечек информации, понятие защищаемых законом приватных сведений в России намного шире, чем в Европе или США.

Кому нужен закон “О персональных данных”?

Подписанный закон “О персональных данных” имеет прежде всего огромное социальное значение. Согласно исследованию холдинга ROMIR Monitoring, проведенному в январе 2006 г. по заказу “РИО-Центра”, российские граждане целиком и полностью поддерживают эту законодательную инициативу. Например, лишь 3,4% респондентов уверены в защищенности своих персональных данных, а противоположной точки зрения — т. е. уверены в полной беззащитности своих приватных сведений — придерживаются 24,4% граждан. При этом 74,1% респондентов поддержали бескомпромиссную борьбу с распространением пиратских копий баз данных ГИБДД, операторов связи, БТИ и других организаций, а 63,3% граждан считают, что государство просто обязано контролировать сбор персональных данных коммерческими структурами. Отметим, что в основе исследования лежит репрезентативная выборка, состоящая из 1,6 тыс. постоянно проживающих в стране граждан из 43 субъектов РФ. Таким образом, можно сделать вывод, что с социальной точки зрения в России уже давно назрела необходимость законодательного регулирования сбора и обработки персональной информации граждан.

Прежде чем перейти к анализу основных положений ФЗ, следует рассмотреть еще два важных определения. Во-первых, оператор персональных данных — это “государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных”. Отметим, что понятие оператора приватных сведений включает любую реально существующую российскую организацию, так как в каждой структуре есть служащие или клиенты, чья личная информация находится на попечении организации. Во-вторых, обработка персональных данных — практически любые действия (операции) с приватными записями. В качестве примера закон указывает сбор, систематизацию, хранение, использование, распространение, обезличивание, уничтожение персональных данных и пр. Таким образом, ФЗ “О персональных данных” касается каждой организации и регулирует все аспекты обращения личной информации.

Основные положения закона

Рассмотрим основные положения закона, требующие от бизнеса принятия соответствующих мер для их выполнения. Прежде всего, ст. 5 ч. 2 гласит: “Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении”. Другими словами, если компания получила в свое распоряжение базу данных для проведения каких-либо работ, то по окончании этих работ либо база должна быть уничтожена, либо данные должны быть обезличены. В последнем случае под обезличиванием понимаются “действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту”. Отметим, что ст. 21 ч. 4 устанавливает максимальный срок, в течение которого данные должны быть уничтожены по достижении целей их обработки, — не более трёх рабочих дней.

Очень важным нововведением являются требования, закрепленные в ст. 6 ч. 1, а именно: “обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи”. Таким образом, основное условие обработки приватных сведений — согласие на то владельца персональных данных, т. е. самого гражданина. Правда, есть и исключения. Например, можно не спрашивать согласия некоторых высших чиновников и кандидатов на выборные должности, так как их приватные сведения часто являются общедоступными. Также обработка персональных данных разрешена журналистам, если это не нарушает права и свободы субъекта.

Для бизнеса двумя важными исключениями, при которых необязательно спрашивать согласие гражданина на обработку его персональных сведений, можно назвать случаи, предусмотренные ст. 6 п. 2.2 и 2.5. Согласно первому из них, разрешена “обработка [приватных данных] в целях исполнения договора, одной из сторон которого является субъект персональных данных”. Согласно второму пункту, “обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услуг связи”. Однако во всех остальных случаях представители бизнеса обязаны спросить у гражданина разрешение на обработку его личных сведений.

Ст. 7 требует от операторов и третьих лиц, получающих доступ к персональным данным, обеспечить конфиденциальность этой информации, под которой понимается “требование не допускать распространения [данных] без согласия субъекта или наличия иного законного основания”.

Новый закон приравнивает разглашение персональных данных работника, ставших известными в связи с исполнением им служебных обязанностей, к разглашению охраняемой законом тайны

Особое внимание представители бизнеса должны уделить ст. 19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст. 19 ч. 1, оператор “обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных” от целого ряда угроз. Среди них закон выделяет “неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия”. Как указывает Вячеслав Лупанов, начальник отдела системного ПО компании “Гелиос Компьютер”, бизнесу придется обеспечить мониторинг всех операций, которые инсайдеры осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, позволяющий заблокировать действия, если они нарушают политику ИТ-безопасности.

Согласно ст. 19 ч. 2, Правительство РФ должно установить требования к “обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”. Контроль над выполнением этих требований, согласно ст. 19 ч. 3, будет возложен на “федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации”. Наконец, ст. 19 ч. 4 разрешает “использовать и хранить биометрические персональные данные вне информационных систем персональных данных… только на таких материальных носителях информации и с применением такой технологии хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения”.

Ответственность за нарушение закона

При нарушении требований закона “О персональных данных” виновные лица (согласно ст. 24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст. 17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещения убытков и/или компенсации морального вреда в случаях, когда оператор нарушает требования ФЗ.

Обработка персональных данных разрешена журналистам, если это не нарушает права и свободы субъекта.

Кроме того, остановимся на новых положениях Трудового Кодекса РФ. В октябре этого года вступает в силу федеральный закон от 30.06.2006 № 90 — ФЗ “О внесении изменений в Трудовой кодекс РФ…”. Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Рассмотрим два изменения в ТК, касающиеся приватных сведений.

Прежде всего, новый ФЗ приравнял разглашение персональных данных работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе “Прекращение трудового договора” ТК. Вдобавок установленный ст. 391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе “Рассмотрение и разрешение индивидуальных трудовых споров”. Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. И сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон.

Новые угрозы для бизнеса

Собирая воедино все указанные выше требования ФЗ “О персональных данных” и изменения в ТК РФ, можно сделать ряд выводов. Прежде всего — о безопасности приватных сведений персонала и клиентов теперь должна заботиться абсолютно каждая организация. По мнению экспертов InfoWatch, российским предприятиям теперь придется иметь дело с новым классом данных. “Если раньше при классификации данных в коммерческой организации достаточно было учитывать три основных категории информации (публичная, конфиденциальная, секретная), то новый федеральный закон практически требует создать еще один класс информации — персональные данные (клиентов, служащих и т. д.). Однако организация — это взаимосвязанный организм. Поэтому изменение принципов классификации влечет за собой модификацию политики ИТ-безопасности. Другими словами, компании обязаны создать политику использования персональных данных, описать все случаи, когда приватные сведения могут быть предоставлены третьим лицам (строго согласно положениям ФЗ), и запретить распространение этой информации во всех других ситуациях. Наконец, политика должна определять процедуры уничтожения персональных данных, в которых больше нет необходимости”, — считает Денис Зенкин, директор по маркетингу компании InfoWatch.

C этим мнением соглашается Дмитрий Огородников, директор департамента решений по информационной безопасности “Энвижн Груп”: “Российскому бизнесу действительно придется пересмотреть свой подход к классификации данных и внести изменения в политику ИТ-безопасности. Однако это абсолютно нормальное явление. Замечу, что в западных странах в крупных организациях уже несколько лет существует такая должность, как директор по секретной информации — CPO (Chief Privacy Officer). Обычно это исполнительное лицо отчитывается напрямую совету директоров, а не исполнительному директору или директору по ИТ-безопасности. Тем самым корпоративная структура отражает, насколько велики риски юридического преследования в случае утечки персональных данных. Полноценная реализация нового российского закона потребует введения аналогичных должностей и в отечественных компаниях. Правда, это будет еще не скоро”.

Помимо чисто организационных мер, связанных с классификацией данных и составлением политики использования персональных данных, каждой организации придется удовлетворить требования закона к защите приватной информации. Это не должно вызвать проблем ни у фирм малого и среднего бизнеса, ни у крупных компаний, так как на рынке уже присутствуют эффективные решения для предотвращения утечек и искажения персональных данных, мониторинга неправомерных действий инсайдеров при доступе к приватным сведениям и т. д. Более того, опыт работы с такими техническими решениями есть у целого ряда известных системных интеграторов, так что проблем с внедрением и сопровождением не возникнет даже у крупнейших операторов персональных данных. Тем не менее представителям бизнеса следует обратить внимание на критические даты, указанные в законе (см. таблицу).

 

В заключение заметим, что контроль над выполнением требований ФЗ будет возложен на федеральный орган исполнительной власти (ст. 19 ч. 3). Сегодня еще не известно, будет ли создан новый уполномоченный правительственный орган или соответствующие полномочия будут переданы ФСБ либо Министерству информационных технологий и связи РФ. Как бы то ни было, этот орган сможет установить свои требования к безопасности персональных данных, которые будут оформлены в виде стандарта. Таким образом, бизнесу необходимо отслеживать нормативные инициативы государства и готовиться к ужесточению требований к защите конфиденциальности приватных данных.