8 апреля 2021 г.

Нам 10 лет!

Сегодня, 8 апреля, исполняется ровно 10 лет с того дня, когда наше Консалтинговое агентство «Емельянников, Попова и партнеры» было зарегистрировано как юридическое лицо и вышло на рынок.

Срок вроде бы и не большой, но сколько всего поменялось на рынке за это время! Принимались и изменялись законы и подзаконные акты, появлялись новые трактовки положений, казавшихся очевидными, суды принимали решения, переворачивавшие сложившееся понимание законодательства, вводились новые требования и новые ограничения, и мы вместе с нашими заказчиками лавировали в этом меняющемся, бушующем мире. Наша цель была всегда одна – обеспечить выполнение закона и не просто не дать загнуться бизнесу, порою очень плохо понимавшему, что хочет от него государство и его законодатели, но и обеспечить использование самых передовых информационных технологий, позволяющих оставаться конкурентоспособными, и не только в России, но и в мире.

За эти 10 лет в области нормативного регулирования сферы персональных данных произошли значительные изменения. Вскоре после начала работы нашего агентства, 25 июля 2011 года, Федеральным законом № 261 (помните поменявшийся радикально за две ночи закон Резника-Плигина-Московца?) была введена в действие фактически новая редакция закона о персональных данных. Сколько всего правильного в основном было написано блогерами, которые как никогда были популярны и читаемы в то время, специалистами и заинтересованными участниками рынка (одно обращение Г.А. Тосуняна к президенту страны чего стоило), сколько копий сломано (зря, как правило). Обсуждение 261-ФЗ стало самым, наверное, активным действием профессионального сообщества, пытавшегося повлиять на регуляторику в области безопасности, существенно затрагивающую интересы бизнеса. «Не шмогли» … Но и катастрофы, которой боялись, не произошло ввиду неизменного российского правила исполнения строгих законов.

В 2015 году заработало требование о локализации персональных данных во время их сбора, вызвавшее оторопь у российских дочек международных и иностранных компаний, активно использовавших зарубежные системы материнских компаний, первых, немногочисленных тогда пользователей облаков и SaaS систем. Пережили и это. Посмотрите статистику проверок 2016-2020 годов – про нарушения, связанные с локализацией, там почти ни слова. Все больше про войну с LinkedIn, Twitter и Facebook.

Вот и сейчас озадаченные владельцы сайтов не могут понять, как на них теперь разместить персональные данные, получить согласие субъектов и их представителей на распространение, указать условия и ограничения обработки и перечни, в отношении которых эти ограничения вводятся. Пережили былое, переживем и это… Ищем и найдем решения. 

Наш мир становится все более цифровым. На горизонте – цифровой профиль, новые реестры, которые знают про нас все больше и больше, проникающая в нашу жизнь, как вода в одежду во время ливня, биометрия, которые не все и не очень-то ждут. Интернет вещей с WiFi в каждом утюге и холодильнике. СИМ-карты в шлагбауме, подписывающиеся на новостные рассылки. Скучно в ближайшем будущем не будет точно.

Начав работать 10 лет назад, мы довольно скоро и сознательно сузили свою нишу на рынке. Мы решили отказаться от многих возможных направлений, в которых выполняли весьма успешные проекты, и сосредоточиться на двух – на персональных данных и тайнах (коммерческой, банковской, связи, врачебной и прочих, кроме государственной). Это позволило нам наработать экспертизу того уровня, благодаря которому мы стали консультантами крупнейших мировых ИТ-вендоров, помогая им и их заказчикам соблюдать требования российского законодательства, мировых и российских лидеров в самых разных направлениях экономики – госкорпораций, системообразующих банков страховых компаний, телеком-операторов, интернет-компаний и производителей средств защиты информации, предприятий промышленности, энергетики, фармацевтики, FGCG, медицинских организаций, служб по подбору персонала из разных стран и многих, многих других. Они именно пришли к нам – за все 10 лет мы не истратили на маркетинг ни копейки.   

Мы –партнеры крупнейших юридических компаний, выполняем совместные с ними сложные проекты, требующие понимания не только законодательства России, но и глубокого вникания в суть бизнеса.

Мы искренне стремились выполнить и нашу социальную миссию, в рамках который были проекты в благотворительных фондах для особенных детей, и множество просветительских и образовательных проектов.

Но среди наших заказчиков – не только компании из enterprise сегмента. Это и стартапы, работа с которыми не самая прибыльная, но, как правило – необыкновенно интересная, поскольку готовых решений как выполнить закон для абсолютно новой идеи, нормативно не урегулированной и не имевшей ранее прецедентов, конечно, нет, а вот необходимость вывода бизнеса, и не в серый, а в белый сегмент – есть.

Мы активно занимались образовательными проектами – курсами, семинарами, вебинарами. За 10 лет обучены тысячи специалистов, и с каждым годом доля специалистов по информационной безопасности среди них все меньше и меньше. Наши слушатели – руководители, первые лица организаций, юристы, в том числе находящиеся на очень высоких позициях и работающие в юридических компаниях, кадровики, айтишники и многие другие. Все эти 10 лет мы работаем с нашими главными партнерами по направлению образования – Учебным центром «Информзащита» и «БизнесШколаКонсультант».

Нам есть чем гордиться. Придуманы и реализованы новые формы и форматы консультационных услуг, подготовлено множество экспертных заключений, в том числе выложенных для свободного доступа, которые читали и использовали тысячи специалистов.

На наш блог, который, к сожалению, не удается обновлять постами так часто, как хотелось бы, тем не менее приходят ежедневно сотни и тысячи читателей. И мы не собираемся останавливаться. До новых встреч!  

1 марта 2021 г.

С 27 марта штрафы вновь ужесточили. А ответственности за утечку персональных данных по-прежнему нет

24 февраля подписан Федеральный закон № 19-ФЗ, которым в КоАП РФ вводятся новые виды административных нарушений, связанных с использованием и обеспечением безопасности сети Интернет, ресурсов и сервисов сети, а также устанавливается ответственность за них.

В лучших традициях последних лет в тексте законопроекта для второго чтения появились дополнения и изменения в статью 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных», которые приняты и вступают в силу с 27 марта 2021 года.

Если коротко, срок привлечения к ответственности за нарушения законодательства о персональных данных (ст.4.5 КоАП) увеличивается с 3 месяцев до 1 года, что, учитывая обычный срок подготовки акта проверки и предписания территориальными управлениями Роскомнадзора (от 1 до 2 месяцев), является весьма значимым изменением, увеличивающим риск наложения штрафов на операторов по результатам проверок.

Размер штрафов по большинству составов нарушений, предусмотренных статьей 13.11, вырос в два раза, появились наказания и довольно суровые за повторное нарушение по ряду оснований.

Более подробно новые штрафы указаны в таблице ниже.

Часть

ст.13.11

Нарушение

Размер штрафа, тыс. рублей

Должн. лица

Юрлица

1

Незаконная обработка (в случаях, не предусмотренных законодательством)

10 - 20

60 -100

1.1

Повторное нарушение по основаниям части 1

20 - 50

100 – 300

2

Несоответствие (отсутствие) согласия на обработку в письменной форме

20 - 40

30 – 150

2.1

Повторное нарушение по основаниям части 2

40 - 100

300 – 500

3

Отсутствие неограниченного доступа к политике в отношении обработки персональных данных

6 – 12

30 – 60

4

Непредоставление информации субъекту

8 – 12

40 – 80

5

Невыполнение требований об уточнении, блокировании и уничтожении

8 – 20

50 – 90

5.1

Повторное нарушение по основаниям части 5

30 – 50

300 – 500

6

Нарушение требований безопасности при обработке без средств автоматизации

8 – 20

50 – 100

7

Нарушение правил обезличивания

6 - 12

Про штрафы для физических лиц и индивидуальных предпринимателей не пишу для краткости, они тоже выросли, желающие могут посмотреть в тексте закона.

Но ответственности за утечку персональных данных, от которой как раз и страдают субъекты и о которой столько разговоров было после катастрофического, с точки зрения атак на субъектов, 2020 года, так и не появилось. Для организации таких атак как раз и использовались данные, полученные в результате утечек. Но если звезды зажигают, значит это кому-то нужно…

Об этих и других изменениях, которые произошли для операторов и субъектов персональных данных в 2021 году, мы подробно поговорим на вебинаре в Учебном центре «Информзащита» 17 марта.

Среди горячих тем, которые будут обсуждаться, – «загадочные» персональные данные, разрешенные субъектом персональных данных для распространения, но с условиями и ограничениями (кстати, сегодня, 1 марта – день вступления изменений, внесенных Федеральным законом от 30.12.2020 № 519-ФЗ в силу, а приказ Роскомнадзора о форме согласия на распространение персональных данных так и не подписан?), существенное расширение сферы применения единой биометрической системы и контроль государства над любыми системами биометрической идентификации, электронный нотариат и электронные трудовые книжки, новые правила дистанционной (удаленной) работы. И, конечно же, практика применения Правил государственного контроля и надзора (Постановление Правительства РФ № 146 2019 года) и статьи 13.11 КоАП, включая часть 8 (часть 9 пока не применялась).

Так что приходите, будет интересно: 4 часа обсуждения нововведений в законодательстве, как показала репетиция вебинара с нашими заказчиками абонентского обслуживания, пролетят незаметно.

18 января 2021 г.

Являются ли персональные данные, опубликованные субъектом для неограниченного доступа, общедоступными?

 Вопрос, вынесенный в заголовок, выглядит странным. И ответ на него, вроде бы, очевиден – конечно, да. Но подписанный 30 декабря президентом Федеральный закон № 519-ФЗ внес сумятицу в умы специалистов, споры о его содержании идут третью неделю, массу вопросов задали заказчики и коллеги мне, поэтому пора, наверное, высказать и свою точку зрения.

Итак, что поменял закон.

Серьезных изменений в законе «О персональных данных» на самом деле всего два.

(1) Появилось принципиально новое понятие «персональные данные, разрешенные субъектом персональных данных для распространения».

(2) Исключено из закона такое основание для обработки персональных данных без согласия субъекта, как случаи, когда доступ неограниченного круга лиц к персональным данным предоставлен субъектом либо по его просьбе.

При этом изменения в закон, несмотря на их кардинальную переработку ко второму чтению, подготовлены крайне неряшливо и непродуманно, так что аукаться новая редакция будет очень долго и очень болезненно. Более того, забегая вперед, выскажу свою точку зрения на последствия этого закона: применяться новые положения будут исключительно точечно и избирательно, поскольку их массовое применение породит полную сумятицу и хаос.

Итак. Проблема номер один. Как теперь указано в пункте 1.1 статьи 3 закона 152-ФЗ «О персональных данных», согласие дается только на распространение персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, то есть на действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Данные, которые субъект разместил, например, в своем профиле в социальной сети или на сайте объявлений, не могут затем размещаться без его согласия на других ресурсах в сети Интернет. Напомню, что распространение является всего лишь одним из 18 способов обработки, указанных в пункте 3 статьи 3 закона.

Но в части 2 новой статьи 10.1 закона ограничения внезапно начинают распространяться на любую обработку персональных данных, раскрытых неопределенному кругу лиц самим субъектом: «обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку». Не забываем, что одним из способов обработки является, например, доступ, и доводим ситуацию до логичного абсурда: доказывать, что законно прочитал что-то в посте социальной сети должен каждый читатель (а чтение публикации и есть доступ). Правда, в части 9 этой же статьи возможность доступа оговаривается отдельно, но эта норма касается оператора, предоставившего доступ, а не лица, его получившего. И вообще, при чем здесь иное использование, в то время как нововведения касаются исключительно распространения?

Дальше – больше. Части 5 и 9 статьи 10.1 предусматривают возможность установления субъектом запретов и условий на обработку персональных данных, а также категорий и перечней персональных данных, для обработки которых эти условия и запреты устанавливаются. Более того, если из согласия субъекта на распространение не следует, что субъект не установил запреты и условия или не определил категории, в отношении которых они установлены, оператор, получивший данные от субъекта и согласие на их распространение (видимо, криво составленное субъектом), должен их обрабатывать (внимание!) без передачи, распространения, предоставления и доступа неограниченному кругу лиц. Еще раз. Согласие было дано, как следует из статьи 10.1, на распространение, но их распространение является противоправным, потому что из согласия такая возможность не следует.

Новые положения вступают в явное противоречие с положениями более высокоуровневого закона – Гражданского кодекса, часть 1 статьи 152.2 которого прямо говорит, что запрет на сбор, хранение, распространение и использование любой информации о частной жизни без согласия гражданина не распространяется на случаи, когда информация о частной жизни гражданина ранее стала общедоступной либо была раскрыта самим гражданином или по его воле. А вот недействительность запрета на обработку в государственных, общественных или иных публичных интересах почему-то из Гражданского кодекса продублирована в части 11 статьи 10.1 закона. Очень напоминает известную миниатюру «здесь играем, здесь не играем, а это пятно, потому что я рыбу заворачивал».

При этом в законе о персональных данных по-прежнему содержатся основания для размещения персональных данных в общедоступных источниках без согласия субъекта – обработка персональных данных для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством на оператора функций, полномочий и обязанностей, для исполнения договора, стороной которого является субъект персональных данных, обработка данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. В этих случаях и потребовать прекращения обработки не получится.

Ничего не поменялось и в статье 8 об общедоступных источниках, она по-прежнему пахнет нафталином прошловековой давности («…могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги)…») и ничего не знает про ресурсы в сети интернет вообще и социальные сети в частности.

Впереди нас ждет много интересного – форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, которая, как хочется надеяться, не будет содержать паспортных данных субъекта и его адреса; создание очередного реестра Роскомнадзора, в котором будут согласия субъектов на распространение их данных, а на самом деле – на обработку с указанием перечня персональных данных по каждой из категорий (еще бы знать, что это – специальные, биометрические, или законодатель имел ввиду что-то совсем другое?). Я так полагаю, что реестр должен быть общедоступным, иначе откуда пользователи будут знать, что можно, а что нельзя делать с данными из перечня по каждой из категорий?

Очень хочется знать, как на практике будет реализовываться требование прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему персональные данные, если к данным уже получил доступ неопределенный круг лиц.

Радует, конечно, что все эти запреты и ограничения не распространяются на выполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления. И это при том, что практически в то же время, когда был принят закон, 23 декабря прошлого уже года, подписано Постановление Правительства РФ № 2249, в соответствии с которым гражданам дано право предоставлять и отзывать согласие на обработку своих персональных данных в случаях предоставления органам и организациям, подключенным к единой системе идентификации и аутентификации (ЕСИА), доступа к информации о физическом лице, согласия на совершение иных действий, в том числе юридически значимых, с использованием государственных, муниципальных и иных информационных систем, а также хранение самих согласий. Но это уже совсем другая песня.

29 декабря 2020 г.

С Новым 2021 годом!

Уважаемые коллеги!

Пусть он будет другим – здоровым, позитивным, открытым всему миру.
Желаем Вам успехов и счастья.
Удовлетворения от сделанного и тепла близких.
Любви и взаимопонимания.
Интересных задумок и их успешной реализации. 
Новых надежных партнеров в бизнесе
и новых радостных впечатлений на отдыхе.
Будьте здоровы!


С наилучшими пожеланиями,

Михаил Емельянников,
Зоя Попова

11 декабря 2020 г.

Сберегательный образ жулика

 Максим Буйлов опубликовал в «Коммерсанте» любопытную заметку о биометрии образа Жоржа Милославского.

Многим, наверное, запомнился недавно появившийся динамичный ролик Сбербанка, в котором вор Жорж Милославский из фильма «Иван Васильевич меняет профессию» попадает в наши дни. Сама по себе идея рекламы банка с жуликом в главной роли выглядит неоднозначно. Даже учитывая, что он рекламировал «Сбер» еще в 1973 году: «Граждане! Храните деньги в Сберегательной кассе, если, конечно, они у вас есть». Но в Сбербанке гордятся примененными передовыми технологиями, которые позволили, как отметил директор департамента маркетинга и коммуникаций банка Владислав Крейнин, «зарядить предпраздничным настроением» «несколько поколений нашей страны».

Между тем мастерская имитация внешности и голоса Леонида Куравлева — актера, сыгравшего Жоржа Милославского почти 50 лет назад,— вызвала пристальный интерес специалистов по информационной безопасности, обсуждавших ролик в профильном телеграм-канале. И возможности «самых передовых технологий» Сбербанка привели их вовсе не в праздничное настроение. Российский эксперт в области информационной безопасности и защиты данных Михаил Емельянников назвал ролик реквиемом «по ЕБС и биометрии по лицу и голосу в целом» (ЕБС – единая биометрическая система).

Полностью заметку можно прочесть в газете «Коммерсантъ» №227 от 10.12.2020, стр. 7.

7 декабря 2020 г.

Осторожно! Каток части 8 статьи 13.11 КоАП тронулся

26 октября мировой судья в Волгограде оштрафовал на 50 тыс. рублей директора Центра немецкого языка - партнера Гете-Института Волгоградского государственного социально-педагогического университета за правонарушение, предусмотренное частью 8 статьи 13.11 КоАП РФ. То есть за невыполнение требования о локализации баз персональных данных россиян в период их сбора. Наказание крайне гуманное, половина минимального штрафа, предусмотренного статьей, меньше он уже быть не мог. 

Вот только, судя по опубликованным материалам дела, штраф наложен просто за трансграничную передачу, сведения о которой университет не указал в уведомлении в Роскомнадзор. Потому как никаких следов исследования судом вопросов именно локализации в постановлении нет.

Что есть. У лиц, пришедших на экзамен по немецкому языку, взяли согласие на обработку персональных данных и их дальнейшую передачу Немецкому культурному центру имени Гете при Посольстве Германии в Москве и Гете-Институту в Мюнхене (Германия). По мнению проводивших проверку Центра немецкого языка представителей Управления Роскомнадзора по Волгоградской области и Республике Калмыкия, такое согласие нарушает положения статьи 12 (трансграничная передача) и, (внимание!), статьи 22 (уведомление об обработке персональных данных) закона 152- ФЗ.

Несчастный директор Центра немецкого языка свою вину полностью признала в полном объеме и раскаялась, сообщила, что в Мюнхен теперь информацию о сдающих экзамен и его результатах передавать не будут. Университет, на всякий случай, еще до суда привлек директора Центра к дисциплинарной ответственности за то, что она не сообщила о трансграничной передаче, и уведомление в Роскомнадзор оказалось не совсем, скажем, корректным, поскольку в нем сведений о трансграничке не было.

А теперь описание «страшного» правонарушения. После получения согласия данные сдававших экзамен (фамилии, имена, даты рождения, места рождения, уровни подготовки по программам данных изучения языка) загружались в приложение «Олимп», веб-сервер которого находится в Германии, что свидетельствует о трансграничном обмене персональными данными.

Это все. За это, по мнению Роскомнадзора и суда, положен штраф по части 8 статьи 13.11 КоАП РФ. Вопрос, фиксировались ли эти данные в других системах Университета и Центра немецкого языка (а мой опыт многолетнего участия в государственных экзаменах вуза подсказывает, что обязательно фиксировались, иначе на экзамен не попадешь) ни представителей Роскомнадзора, ни суд не заинтересовал. А ведь именно он является решающим при оценке выполнения требования о локализации.

Прецедент крайне опасный по своим последствиям. Такая трактовка требований о локализации может привести к полной переоценке допустимости трансграничной передачи персональных данных в принципе. И очень жаль, что ни представители надзорного органа, ни судьи, ни адвокаты (а адвокат директора Центра, судя по материалам дела, этот вопрос не поднимала, а лишь просила учесть смягчающие обстоятельства) в законе, который применяют, так и не разобрались.

Кстати, это дело дает наглядный ответ на вопрос, который наши заказчики задают постоянно: кто это загадочное должностное лицо, которое могут привлечь по статье 13.11? Это судья сформулировала четко, сославшись на статью 2.4 КоАП РФ. Определение очень большое, больше моего поста, любопытные могут посмотреть сами по ссылке Отвечу коротко – любое лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции. Директор Центра, например, в соответствии с трудовым договором и должностной инструкцией, должна вносить достоверные данные «в Управление Роскомнадзора по Волгоградской области и республике Калмыкия» (цитата). Поэтому, решила судья – она должностное лицо.

У меня все. Занавес. 

6 ноября 2020 г.

Обстоятельное интервью о проблеме персональных данных в России

Портал CISO Club опубликовал мое интервью о ситуации с законодательством о персональных данных и правоприменением. Спасибо коллегам с портала за отличный подбор вопросов. Это, наверное, самое полное и системное изложение моего видения проблемы персональных данных в России. На портале опубликовано еще много замечательных интервью с самыми интересными и известными людьми отрасли и других полезных публикаций. Очень рекомендую.

Интервью с Михаилом Емельянниковым о защите персональных данных

1)    Что такое персональные данные? Каков минимальный состав персональных данных? Телефон или телефон и ФИО это персональные данные?

Закон определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу. Такая формулировка допускает сколь угодно широкое определение того, что является персональными данными. Персональными данными является любая информация, относящаяся к известному оператору лицу или любая информация, позволяющая определить конкретное физическое лицо. И минимального состава данных здесь нет, он зависит от конкретного контекста обработки. Например, номер телефона и ФИО – это всегда персональные данные, но для оператора связи всего лишь номер телефона его абонента – тоже персональные данные, поскольку владелец номера оператору известен.

С учетом проникновения в нашу жизнь Интернета все больше регуляторов и специалистов рассматривают профили анонимных посетителей сайтов, позволяющие этих посетителей различать, отличать друг от друга, прогнозировать их поведение, таргетировать рекламу тоже как персональные данные. После принятия GDPR ряд европейских специалистов говорили о том, что адрес электронной почты, составленный из полного имени, фамилии и названия компании уже сам по себе является персональными данными.

Абсолютно все, что работодатель знает о своем работнике, является персональными данными для работодателя как оператора.

2)    Является ли фото без ФИО и прочих данных персональными данными? Какие есть особенности при защите биометрических персональных данных?

Фото без сведений о его владельце персональными данными не является, за исключением случая, когда оно используется в системе распознавания лиц, в которой уже есть математический шаблон изображения лица владельца.

Например, Единая биометрическая система, в которую вносятся фото и слепки голоса клиентов банка, - анонимная, в ней есть только идентификатор владельца из ЕСИА, но она является информационной системой персональных данных.

С другой стороны, фото даже с указанием того, кому оно принадлежит, вне системы распознавания лиц, используемой для биометрической идентификации, биометрическими данными на является.

Биометрическая система персональных данных не может иметь уровень защищенности ниже третьего, поэтому, по сравнению с наиболее распространенными системами 4 уровня защищенности, в ней надо использовать большее количество мер обеспечения безопасности. Плюс для биометрических данных есть довольно жесткие ограничения, связанные с возможностью их обработки.

3)    С чего начать руководителю отдела ИБ при подходе к задаче защиты персональных данных? Кто должен участвовать в организации процесса по защите персональных данных кроме CISO?

Я считаю, что организация работы с персональными данными в организации – вообще задача не CISO. Руководитель службы ИБ должен решать вопросы реализации организационных и технических мер безопасности при обработке персональных данных в автоматизированных системах, и начинать надо с нормативки: правильно установить уровень защищенности персональных данных, сформировать модель или перечень актуальных угроз, определить механизмы их нейтрализации и средства которыми они будут реализованы с учетом возможности использования как базовых, так и компенсирующих мер. А затем строить подсистему безопасности вместе со специалистами ИТ-подразделения.

Важное место здесь занимает правильное назначение прав пользователям системы, которое невозможно сделать без взаимодействия с руководителями бизнес-подразделений, обрабатывающих персональные данные.

4)    Защита персональных данных – это формальность для выполнения требований регуляторов или необходимый набор мер с точки зрения реальной безопасности?

Это может быть и формальностью, но особой необходимости заниматься формализмом нет – проверить реализацию мер защиты в негосударственной системе сегодня без специального наделения правительством соответствующими полномочиями не может никто (исключение здесь, пожалуй, только банки, поскольку Банк России имеет соответствующие полномочия, хотя в законе они и не прописаны). Но те, для кого персональные данные являются ценностью – банки, страховые компании, операторы связи и т.д., как правило, защищают данные не только для формальной демонстрации регуляторам. Но и здесь количество утечек говорит о недостаточности усилий, скорее всего – из-за отсутствия последствий в случае неправомерного доступа третьих лиц к персональным данным.

5)    Нужна ли неавтоматизированная обработка персональных данных в 2020 году? Какие существуют принципиальные отличия по защите персональных данных в «бумажном» и электронном виде?

Пока без нее обойтись нельзя. Не все вопросы решаются онлайн, но сфера бумажного документооборота неуклонно сужается. Вот и новые «бумажные» трудовые книжки с 2021 года выдавать не будут.

Отличия в защите принципиальны. При неавтоматизированной обработке документы с персональными данными необходимо защитить только от физического доступа к ним злоумышленника, при автоматизированной варианты атак гораздо более разнообразны, в том числе они могут совершаться удаленно, поэтому и защищаться надо от большого количества внутренних и внешних угроз.

6)    Процесс защиты персональных данных лучше доверить подрядчику или выполнить самим? Где взять шаблоны и примеры ОРД?

Это зависит от того, какими силами и средствами располагает оператор. Если служба ИБ большая, в ней работают квалифицированные кадры, то многие задачи она сможет решить самостоятельно. Но даже в таких организациях комплексное проектирование развертывание больших и сложных систем безопасности делает подрядчик. У многих же операторов службы ИБ и даже ИТ вообще нет. Естественно, в них работы будут выполняться внешним подрядчиком. Кроме того, всё большая миграция в дата-центры и облака сводит участие оператора в обеспечении безопасности к минимуму. Все более популярными становятся SecaaS и услуги внешних SOC. Так что будущее – за аутсорсингом.

7)    Как подготовиться к проверке регуляторов? Верно утверждение, что проверки подлежат только ОРД, наличие СЗИ и их настройки нередко остаются без внимания?

Готовиться надо, проводя внутренний контроль или внешний аудит соответствия обработки требованиям законодательства и ревизию своих локальных нормативных актов. Поскольку Роскомнадзор не имеет полномочий по проверке требований статьи 19 закона «О персональных данных», определяющей состав и содержание мер безопасности, а ФСБ и ФСТЭК без наделения их полномочиями Правительством РФ прийти с проверкой в коммерческую организацию не могут, вопросы технической защиты остаются в негосударственных системах вне контроля регуляторов. Исключения, как я отмечал выше составляют банки. Есть еще мероприятия прокурорского надзора, к которым привлекаются эксперты из территориальных органов ФСБ России.

Но не надо забывать, что Роскомнадзор, кроме ОРД, проверяет еще и процессы, и вот там как раз выявляется наибольшее количество нарушений.  

8)    Легитимно ли использовать несертифицированные ФСТЭК и ФСБ СЗИ? По каким критериям следует выбирать СЗИ для защиты персональных данных? Эффективны ли организационные меры вместо внедрения СЗИ?

Приказ ФСТЭК № 21 прямо допускает применение компенсирующих мер, кроме того, ФСТЭК, начиная примерно с 2017 года, допускает применение не только сертификации, но и иных способов оценки соответствия. В частности, испытаний и приемки, которые оператор может выполнитель самостоятельно.

ФСБ иных способов оценки соответствия, кроме сертификации, не признает, однако сертифицированные СКЗИ нужны для нейтрализации актуальных угроз, так что при определении необходимости использования СКЗИ начинать надо именно с оценки угроз. Кроме того, на сайте ФСБ есть Извещение от 18.07.2016, в котором указано, что обязательная сертификация средств шифрования не требуется при передаче сообщений в сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну.

А СЗИ необходимо выбирать, в первую очередь, исходя из функционала, способности нейтрализовать актуальную угрозу, совместимости с другими технически средствами в информационной системе, а не в зависимости от наличия голографической наклейки.

Организационные меры полностью заменить технические не могут, но иногда полезны и, как правило, гораздо более дешевы.

9)    Как защитить персональные данные в облаке? Что делать если облако находится за пределами РФ?

При размещении персональных данных в облаке необходимо прописать в договоре с провайдером состав и содержание мер, обеспечивающих соответствие необходимого и известного оператору уровня защищенности, и ответственность провайдера за их несоблюдение. Здесь наиболее эффективными мерами являются штраф или неустойка в случае нарушения требований безопасности, которые не требуют доказательства размеров понесенных заказчиком-оператором убытков.

При размещении данных в зарубежном облаке следует тщательно изучить описание мер безопасности, принимаемых провайдером (они серьезными игроками прописываются очень детально), и оценить их достаточность для защиты размещаемых в облаке персональных данных. Риски, конечно, лежат на операторе, но и значимых утечек по вине провайдеров практически нет, в отличие от операторов.   

10) Насколько эффективно внедрять ИСПДн с несколькими УЗ? Или лучше «построить» одну ИСПДн, соответствующую максимальным требованиям по защите ПДн?

Одна ИСПДн максимального уровня защищенности, с точки зрения проектирования может быть и предпочтительнее, но цена средств защиты и их эксплуатации, которые не являются необходимыми для некоторых ее компонентов, может оказаться более значимым фактором при принятии решения.

Мы часто встречаемся в проектах со случаями, когда крупный оператор, использующий большое количество различного прикладного программного обеспечения и СУБД, объединяет эти компоненты в системы по функциональному признаку (персонал, заказчики, конечные потребители и т.д.), и такой подход для некоторых операторов может оказаться оптимальным.

11) Аутсорсинг ИБ, ИТ и отсутствие собственных СЗИ – это преграда для защиты персональных данных?

Напротив, это совсем не преграда, а способы выполнить требования закона без дополнительного штата персонала, а часто – и дешевле, чем полностью своими силами.

12) Для каких случаев актуально обезличивание персональных данных? Приведите примеры.

Обезличивание эффективно всегда, поскольку утечка обезличенных данных, как правило, не влечет серьезных последствий для субъекта. Но оно возможно не во всех системах. К тому же, надо различать обратимое обезличивание (псевдономизацию в GDPR) и необратимое (анонимизацию в том же европейском регламенте). Наше законодательство об этих различиях молчит, что порождает путаницу.

Кроме того, Роскомнадзор примерно с 2016 года занял очень странную для меня позицию, в соответствии с которой обезличивать персональные данные могут только те операторы, которым это предписано законом, и постоянно делает операторам по этому поводу замечания при проверках, рекомендуя удалить упоминания об обезличивании из локальных актов.

Поэтому этот способ снижения негативных последствий инцидентов с персональными данными у нас используется редко, а жаль.

А пример приведу один. Оператор решил перенести «разбухшую» CRM-систему в облако за рубежом. Размещение там обезличенных данных упрощает выполнение требований законодательства, не требует согласия субъектов, в то же время наличие базы индексов, которыми заменены идентифицирующие данные в CRM, локально у оператора в России позволяет использовать весь функционал CRM-системы зарубежного вендора.

13) В чем разница между отечественным и западным законодательством по защите информации ограниченного доступа, в том числе персональных данных?

Если сравнивать закон «О персональных данных» и регламент Евросоюза GDPR, различия очевидны. GDPR гораздо более детальный, с большим количеством определений используемых терминов и примеров, разъяснений. У нас – только требования, но при этом значительная часть применяемых в законе понятий не определена, что очень мешает его буквальному толкованию и единообразному применению.

Следующее отличие – концептуальное. Европейский регламент основан на риск-ориентированном подходе, от оператора (контролера) постоянно требуется оценивать риски для субъектов, риски использования новых технологий, массовой обработки данных и т.д. В 152-ФЗ слово «риск» не используется ни разу!

Из такого подхода вытекает еще одно серьезное отличие. Регламент не содержит конкретных требований к обеспечению безопасности и не предполагает принятие для их детализации нормативных актов. Оператор сам определяет состав и содержание мер, может пользоваться или не пользоваться стандартами и т.д.

Но следствие этого – значительно более серьезная ответственность за инциденты, в первую очередь – за утечку, порядок действий при которой детально расписан, и его несоблюдение само по себе влечет огромные штрафы.

И максимальный размер штрафов – это тоже существенное различие российского и европейского законодательства.

14) Какие меры необходимо принять для более эффективного внедрения процесса обеспечения безопасности персональных данных помимо увеличения штрафов?

Надо заняться, наконец-то, защитой прав субъектов, а не проверкой выполнения формальных требований типа подачи уведомления об обработке и его содержания. Исправить ошибки и несоответствия в законе, которых до сих про достаточно. Переключиться на проверку организаций, допустивших серьезные инциденты, а не отобранных по непрозрачным критериям компаний и учреждений, где ни инцидентов, ни жалоб субъектов не было.

Штрафы надо не только увеличивать, но и ввести, в первую очередь, штрафы за утечку независимо от виновника такого инцидента. И привлекать к ответственности не за невыполнение требований, часто избыточных и формальных, а за нанесение вреда субъекту, нарушение его прав и неправомерные действия с персональными данными.

15) Как стать экспертом по защите персональных данных? Какие учебные курсы необходимо закончить?

Курсы нужны, чтобы войти в тему, разобраться в основах или конкретных узких вопросах. Экспертом они не сделают. Надо много читать, думать, пытаться разобраться в сложных вопросах, которых очень много, работать в живых проектах, общаться с регуляторами и надзорными органами, активно взаимодействовать с коллегами. Это очень долгий и сложный путь, требующий много времени и больших усилий.

16) Какие изменения ждет законодательство в области защиты персональных данных в России?

К сожалению, тенденции неутешительные – все большее ограничение приватности, все большее вмешательство государственных органов и увеличение их прав, бесконтрольное накопление и хранение все большего объема сведений о субъектах госорганами и частными компаниями, создание всевозможных «цифровых рейтингов», которые в перспективе будут затрагивать права и свободы граждан, построение глобальной системы слежения с использованием распознавания лиц, номеров автомобилей, геолокации и т.д.

17) Ваше личное мнение относительно последних новостей в СМИ по сбору персональных данных правительством Москвы.

Отрицательное. Эти меры не способствуют достижению декларируемой цели, вводятся со значительными нарушениями законодательства и принуждением к его нарушению санкциями вплоть до административной приостановки деятельности, непропорциональны и избыточны, не эффективны. Их принятие будет иметь очень серьезные последствия для граждан и бизнеса, но для граждан – в первую очередь.