Интервью с Ксенией Шудровой о защите персональных данных и не только

Дата: 07.02.2021. Автор: CISO CLUB. Категории: Главное по информационной безопасности, Интервью с экспертами по информационной безопасности
Интервью с Ксенией Шудровой о защите персональных данных и не только

Редакция CISO CLUB пообщалась с Ксенией Шудровой о защите персональных данных и информационной безопасности в целом.

Ксения — признанный эксперт по ИБ и автор популярного блога «Защита персональных данных и не только».

Редакция CISO CLUB узнала у Ксении, что является персональными данными и как изменился подход к защите ПДн за последние 15 лет. Ксения поделилась рекомендациями как построить эффективную систему защиты персональных данных и пройти проверку Роскомонадзора. Мы получили комментарии на тему обработки биометрических ПДн, процесса сертификации и многие другие.

  • Как объяснить дилетанту что является ПДн, а что нет?

Это, наверное, самый популярный вопрос, который мне задают. Забавно, что ответа на него я не знаю. Точнее, его нет. Все зависит от контекста ситуации и определяется интуитивно. Приведу пример. В техническом проекте указаны ФИО, должность и подпись руководителя организации. Персональные данные ли это? Теоретически да, но на практике мы считаем, что документ персональные данные не содержит, потому что значение этих ПДн мало по отношению к значимости содержимого документа. Другое дело – сводная таблица ФИО и должностей ответственных за технические проекты лиц. Это уже персональные данные. Поэтому вопрос «Что является ПДн, а что нет?» я дилетантским не считаю, это скорее вопрос философский.

  • Как изменился подход к защите персональных данных за последние 15 лет?

Спасибо за этот вопрос! Про прошлое, настоящее и будущее персональных данных я рассуждать люблю, даже книгу в 2015 году написала с подобным названием «Персональные данные: что было, что будет, чем сердце успокоится…» (в открытом доступе до сих пор). Я считаю, что для понимания текущей ситуации с персональными данными, нужно знать историю вопроса. ФЗ № 152 «О персональных данных» вышел в 2006 году, так что как раз летом будем отмечать 15-летие документа. Мой опыт работы составляет 11 лет, даже за это время изменилось многое. В 2009-2010 годах, когда я только пришла в профессию и совмещала учебу в университете с работой, все было по-другому. Мы ориентировались на четверокнижие ФСТЭК России (на тот момент ДСПшное, исполнитель не всегда мог самостоятельно ознакомиться с требованиями), на приказ трех и другие документы, которые успели появиться и исчезнуть. Это были времена обязательной аттестации, классов, а не уровней защищенности, многих нестыковок одних документов с другими. Потом пришли 2011-2013 года и все стало налаживаться, вышли Постановление Правительства 1119 и Приказ ФСТЭК № 21. А в 2014м еще и 378 Приказ ФСБ России, в 2015 году был сформирован банк данных угроз безопасности ФСТЭК России, принят 242-ФЗ (о локализации баз данных на территории РФ). Таким образом, к 2015му году основной костяк законодательства был сформирован. Темпы изменений снизились, за последние годы стоит отметить, наверное, только Постановление Правительства 146 о проверках Роскомнадзора. Также за 15 лет очень сильно изменился сам ФЗ № 152, вплоть до того, что поменялись основные определения, в том числе определение «персональные данные». Поэтому я всегда рекомендую при поиске шаблонов и поясняющих статей смотреть на дату публикации. Не стоит брать «рыбу» моложе 2015 года, а еще лучше ориентироваться на 2019 год и позднее.

  • Действующие нормативно-правовые акты, регламентирующее работу с персональными данными в РФ можно считать эффективными?

Мне состояние нормативно-правовой базы на сегодняшний день нравится. Глобальных противоречий я не вижу. Однако есть еще к чему стремиться в плане гармонизации. Сообществу специалистов очень не хватает новой методики определения актуальных угроз адекватной времени и возможности операторов, а также методики оценки вреда субъектам персональных данных.

  • Для нейтрализации актуальных угроз ИБ необходимо использовать сертифицированные ФСБ и ФСТЭК России СЗИ? 

Вопрос содержит в себе ответ: если актуальны угрозы, которые можно нейтрализовать только сертифицированными средствами защиты информации, то использовать их нужно. Прямое требование об использовании таких средств содержится только в 17 Приказе ФСТЭК России, в 21 все отдается на откуп специалистам.

  • Процесс сертификации СЗИ – это пережиток прошлого?

Отличный вопрос, спасибо. Часто задаю его себе и получаю разные ответы. В начале учебы и работы я была однозначно уверена в необходимости использования сертифицированных средств защиты информации. Но 10-15 лет назад мы имели дело с совсем другими информационными системами, более простыми, часто встречались автономные рабочие места, список приложений пользователя был небольшим. В те годы основной проблемой была небольшая мощность компьютеров и связанные с ней конфликты прикладных приложений и сертифицированных средств защиты. Опытным путем выясняли, что с чем не дружит. Сейчас таких проблем почти нет. Сертифицированные средства легко встраиваются в систему, но появилась другая проблема: на мой взгляд, сами процедуры сертификации и аттестации плохо отвечают требованиям времени, все-таки о сертифицированных СЗИ мы чаще всего говорим в контексте аттестации. Мы должны учитывать хранение в облаке, использование мобильных устройств практически повсеместно. Очень сложно сейчас представить информационную систему, комфортно замершую на три года в одном состоянии. Но это очень сложный вопрос, как все изменить, чтобы было и безопасно и удобно? Поэтому на сегодняшний день при выборе между средством защиты информации без сертификата и сертифицированным я остановлюсь на последнем.

  • В ИСПДн, создаваемых на базе Open Source, нужно сканировать исходный код?

На мой взгляд, для создания эффективной системы защиты всегда нужно убирать «слепые зоны» на столько, на сколько это возможно. Если обратиться к нашему законодательству, то Постановление Правительства 1119 в основе классификации угроз как раз определяет наличие недокументированных возможностей.

  • Какие существуют особенности при защите биометрических данных? Насколько безопасно предоставлять свои отпечатки пальцев и пр.?

Биометрическим персональным данным посвящена 11 статья ФЗ «О персональных данных». Но в ней лишь указано, что к таким данным относится, а также необходимость обработки с согласия субъекта персональных данных за исключением отдельных случаев. Больше информации о требованиях можно получить из статьи 14.1 ФЗ № 149. Также в этой сфере есть Постановление Правительства 512 и ГОСТы. В остальном к биометрическим персональным данным предъявляются все те же требования по обеспечению информационной безопасности, что и к другим персональным данным. Особенностью биометрии является ее высокая степень однозначности при идентификации субъекта персональных данных, а также неизменность. Например, Иванов Ивановых может быть очень много, даже с одинаковой датой рождения, а вот отпечаток пальца уникален. Утечка биометрических персональных данных с привязкой к другим персональным данным очень опасна тем, что эта база будет нести потенциальные риски на протяжении всей жизни субъекта. К сожалению, скан сетчатки глаза не поменять, в отличие от скомпрометированного пароля. Поэтому я бы посоветовала предоставлять такую информацию о себе только в исключительных случаях. А операторам собирать такую информацию только при наличии объективной необходимости.

  • Что такое общедоступные персональные данных и нужно ли их защищать?

В законодательстве нет такого понятия, как «общедоступные персональные данные», есть лишь понятие общедоступных источников. Такие ресурсы формируются исключительно с согласия субъекта персональных данных, субъект в любой момент может отозвать свое согласие и потребовать удалить информацию о себе. Поэтому то, что я позволяю опубликовать на сайте Х свои ФИО и дату рождения не значит, что эти данные автоматически становятся общедоступными, а значит лишь, что они могут быть размещены на сайте Х в данный момент. Если понимать под защитой исключительно конфиденциальность, то ее обеспечивать, конечно же, не нужно, когда мы говорим об общедоступных источниках. А вот целостность и доступность все также важны. Для государственных информационных систем, к примеру, есть требования Приказа ФСБ России № 416 и ФСТЭК Росси № 489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования».

  • Являются ли персональные данные, опубликованные субъектом для неограниченного доступа, общедоступными?

Если субъект разместил свои персональные данные в общедоступном месте, например, в сети Интернет, то все желающие могут ими воспользоваться. При этом оператор не должен уведомлять субъекта об обработке его персональных данных (ФЗ «О персональных данных», ст. 18, п. 4, пп. 3). Однако нужно помнить, что получение не напрямую от субъекта не снимает с оператора остальных обязанностей.

  • Как пройти проверку Роскомнадзора и других регуляторов? Верно, ли что РКН проверяет только «бумажную» часть и не смотрит на техническую составляющую СЗПДн?

Для того, чтобы подготовиться к проверке Роскомндазора стоит изучить: Постановление Правительства 146, а также сайт регулятора, отчеты о проведенных проверках. При проверке проверяются не бумаги, а соответствие технологического процесса обработки персональных данных требованиям законодательства и локальных нормативных актов. Если написано «шкаф с личными делами закрывается на замок, доступ в помещение ограничен», то шкаф действительно должен закрываться, должны быть списки лиц, допущенных в помещение. Поэтому писать нужно только правду и ничего кроме правды. Также отмечу, что соответствие 19й статье ФЗ 152, в которой указываются технические требования к защите информации не проверяется Роскомнадзором. Это сфера интересов ФСБ России и ФСТЭК России. Также проверку могут провести и другие надзорные органы, например, Прокуратура, Банк России.

  • Какие штрафы действуют сегодня за невыполнение требований по обеспечению безопасности информации ограниченного доступа?

Видов тайн больше 70, поэтому перечислять все нюансы не вижу смысла. Можно условно разделить все на гостайну и конфиденциальную информацию. Для конфиденциальной информации можно выделить основное: персональные данные, коммерческая тайна, служебная тайна. Есть ключевые статьи, по персональным данным это КоАП 13.11, по ней сумма штрафов возможна до 18 миллионов рублей. Но для разных видов тайн предусмотрена не только административная ответственность, но и дисциплинарная, а также уголовная.

  • Как отличается подход к защите персональных данных в России и Европе/США?

Если коротко: у нас оператор отвечает за выполнение требований законодательства, а за рубежом за утечку информации или создание условий для такой утечки.

  • Можно ли ждать появления в России аналога GDPR?

Думаю, что законодательство постепенно меняется, и мы довольно часто берем западные требования и адаптируем их. Так было с Конвенцией о защите физических лиц при автоматизированной обработке персональных данных 1981 года. Вполне возможно, что мы придем к своему аналогу GDPR. Некоторые момент в регламенте мне очень нравятся, например требование о наличии разъяснений об обработке персональных данных на понятном субъекту языке в том числе для детей. Я за такие формулировки и против канцеляризмов.

  • Специалист по защите ПДн – это юрист или инженер? Какими компетенциями должен обладать эксперт по ПДн?

Мне сложно быть непредвзятой в этом вопросе, потому что я по образованию специалист, закончила «информационную безопасность телекоммуникационных систем» , являюсь кандидатом технических наук. То есть от юриста лично во мне ничего нет, однако, работа по защите персональных данных предполагает большую юридическую составляющую. Без знания законодательства специалисту никуда не деться, система защиты информации должна соответствовать требованиям закона. На практике я чаще всего сталкивалась со специалистами по защите ПДн из ИБ или ИТ подразделений. На мой взгляд, стоит разделять защиту персональных данных как выполнение требований федерального законодательства — задача юридического характера) и техническую защиту информации, для обеспечения которой необходимо разбираться в документах ФСТЭК России и ФСБ России — это сугубо инженерные вопросы. Вот из-за такого симбиоза чаще всего вся защита и перекладывается на плечи айтишников.

  • В России актуальна профессия Data Protection Officer?

Как представитель специалистов из регионов, а именно человек из Сибири могу сказать, что нам до этой профессии нужно пройти еще один этап – сделать актуальной профессию специалиста по защите информации. Сейчас только формируется рынок труда в этой области, безусловно, ситуация лучше, чем 10-15 лет назад, когда вакансий за год появлялось не больше 5 на город милионник, но все равно таких специалистов выпускается гораздо больше, чем требуется. Но стремиться к тому, чтобы на предприятиях были Data Protection Officer конечно же надо.

  • Какую роль играет судебная практика, связанная с нарушением законодательства о персональных данных при построении эффективной СЗПДн?

Я очень люблю судебную практику и всегда использую ее в своей работе. Благо на официальном портале sudrf.ru сейчас можно найти тексты судебных решений и фильтры хорошо настраиваются. Судебная практика только-только становится гармоничной, можно увидеть появляющиеся закономерности, спрогнозировать решение судьи. При поиске судебных решений я стараюсь не ограничиваться одним регионом, но даты выбираю свежие, не позднее трех лет назад.

  • Нужно ли отзывать согласие на обработку ПДн из банка при закрытии счета?

По умолчанию оператор должен удалять персональные данные по достижении цели обработки, если нет требования законодательства хранить ПДн дольше, например, при увольнении данные о работнике не удаляются. Поэтому не вижу смысла отзывать такое согласие. Но если вами будет обнаружена какая-то нежелательная активность после закрытия счета: звонки и сообщения из банка, то стоит согласие отозвать.

  • Возможно ли получить услугу без согласия на обработку ПДн?

Да, согласие не единственное условие для законной обработки. Все исключения зафиксированы в законе (ст. 6 ФЗ 152), одним из них является обработка персональных данных для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

  • Стоит ли беспокоиться о безопасности своих ПДн, если большая часть информации уже доступна про меня в соц. сетях?

Конечно же стоит. Плюс я бы рекомендовала убрать лишнее в социальных сетях. Посмотрите на свою страницу взглядом постороннего человека, не своего друга. Какая информация о вас может навредить? Например, домашний адрес, телефон, имена детей, место работы, интересы. В сети много опасностей, нужно помнить об этом и постараться защитить себя.

  • Как повысить осведомленность «домашних» пользователей по вопросам ИБ?

Сейчас есть информационные ресурсы об информационной безопасности, можно легко найти информацию в доступном виде, в том числе для детей. Например, у меня есть маленькая бесплатная книжка «Мысли про … информационную безопасность и жизнь» (в открытом доступе) с короткими заметками в стиле «просто об ИБ».

  • Какие изменения в нормативной базе по ИБ ждут нас в ближайшее время?

Очень надеюсь на выход новой адекватной методики определения актуальных угроз. И хотелось бы, чтобы требования носили рекомендательный характер.

  • Как стать экспертом по защите ИБ?

Много работать и интересоваться историей вопроса, учиться каждый день, быть открытым новому и не считать себя экспертом.

  • 5 советов по построению эффективной СЗПДн

Скажу в общем о системе защиты информации. Совет № 1. Знайте свои информационные системы. Совет № 2. Следите за изменениями законодательства. Совет № 3. Изучайте судебную практику. Совет № 4. Общайтесь с профессионалами. Совет № 5. Экономьте деньги предприятия.

Спасибо за интересные вопросы! Мой блог на ресурсе: cisoclub.ru/user/shudrova/

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *