Обеспечение безопасности персональных данных (часть вторая)

Дата: 03.11.2021. Автор: CISO CLUB. Категории: Главное по информационной безопасности, Статьи по информационной безопасности
Обеспечение безопасности персональных данных (часть вторая)

Наш диалог с экспертами рынка ИБ на тему защиты персональных данных продолжается. Вашему вниманию предлагается вторая часть статьи «Обеспечение безопасности персональных данных». В первой части специалисты рассказали нам о возможных штрафах за несоблюдение ФЗ «О персональных данных», о наказаниях за утечку информации, об особенностях работы руководителей отделов ИБ при необходимости выстраивания системы защиты данных в компании «с нуля».

Во второй части нашей статьи мы подробнее расспросили экспертов о проверках соответствия требованиям по защите ПДн, о необходимости обезличивания личной информации граждан, об «общедоступности» персональных данных, о разнице между российским и иностранным законодательством по защите ПДн.

На вопросы CISO CLUB ответили:

  • Валиуллина Жанна, эксперт по информационной безопасности ГК Innostage.
  • Петров Илья, директор департамента продвижения собственных продуктов ГК Innostage.
  • Ксения Шудрова, блогер, shudrova.blogspot.com.
  • Алена Игнатьева, старший консультант по консалтингу и аудиту информационной безопасности STEP LOGIC.
  • Александр Дворянский, директор по стратегическим коммуникациям Infosecurity.
  • Леонид Чуриков, ведущий аналитик «СёрчИнформ».
  • Денис Суховей, Директор по продукту в компании «Аладдин Р.Д.».
  • Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT.
  • Александр Хонин, руководитель отдела консалтинга и аудита группы компаний Angara.
  • Максим Степченков, совладелец компании RuSIEM.
  • Михаил Емельянников, управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры».

Кто и как часто проводит проверки на соответствие всем требованиям по защите персональных данных? Как успешно пройти проверку регулятора?

Максим Степченков, совладелец компании RuSIEM:

Обеспечение безопасности персональных данных (часть вторая)
Максим Степченков, совладелец компании RuSIEM

«Проверки проводят Роскомнадзор, ФСТЭК России и ФСБ России. О плановых проверках известно сильно заранее, информацию о них публикуют на региональных порталах Роскомнадзора. Плановая проверка в отношении оператора проводится не чаще одного раза в 2 года после окончания предыдущей плановой проверки. Внеплановые проверки проводятся в случае неисполнения или частичного исполнения оператором ранее выданного предписания об устранении нарушения, по результатам рассмотрения обращений граждан по поводу нарушения их прав, по поручению Президента Российской Федерации и Правительства Российской Федерации, по требованию прокурора, а также в связи с нарушениями требований, выявленными по результатам проведения мероприятий по контролю без взаимодействия с оператором.

Успешность проверки (ее удовлетворительный с точки зрения регулятора результат) напрямую зависит от того, как в компании организована обработка и защита ПДн, разработаны ли локальные нормативные акты, имеется ли защита ИСПДн, каналов связи. Зачастую в преддверие плановой проверки операторы проводят у себя аудит состояния процессов обработки и защиты ПДн)».

Александр Хонин, руководитель отдела консалтинга и аудита группы компаний Angara:

Обеспечение безопасности персональных данных (часть вторая)
Александр Хонин, руководитель отдела консалтинга и аудита группы компаний Angara

«Проверки могут осуществляться со стороны Роскомнадзора, ФСТЭК и ФСБ. Последние два регулятора проводят мероприятия по контролю намного реже и в основном в отношении госсектора. Соответственно, наиболее вероятный сценарий, что проверку будет проводить именно Роскомнадзор. Такие мероприятия могут быть плановыми и внеплановыми. Но частыми их не назовешь. Обычно Роскомнадзор в конце года размещает на своих ресурсах планы по проверкам, из которых можно узнать, попала ли в него организация или нет.

Вопросами обработки и защиты персональных данных стоит начинать заниматься не в момент понимания, что Вас будут проверять, а заранее и на постоянной основе. Непосредственно перед проверкой необходимо провести ревизию имеющихся процессов обработки и защиты персональных данных, информационных систем, а также привести в порядок всю техническую и организационно-распорядительную документацию, касающуюся обработки и защиты персональных данных. Кроме того, необходимо провести работу с персоналом, в том числе по повышению осведомленности относительно процессов обработки и защиты персональных данных».

Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT:

Обеспечение безопасности персональных данных (часть вторая)
Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT

«Организацию процессов обработки ПДн проверяет Роскомнадзор. Защиту ПДн при их обработке в информационных системах – ФСТЭК России. Если учесть, что операторы ПДн — это абсолютно все юридические лица, то, конечно, количество проверок Роскомнадзора ничтожно мало. Что же касается ФСТЭК России, то инспекторов у них еще меньше, а тематик для проверок (ГИС, КИИ, ПДн) — больше. Что же касается успешного прохождения проверки, то тут не только необходимо заранее подготовиться, но и правильно представить свою готовность регуляторам, например, актуализировать документы при необходимости и проверить насколько им соответствуют бизнес-процессы. По нашей практике, многие компании привлекают консультантов для подготовки и участия в проверке».

Александр Дворянский, директор по стратегическим коммуникациям Infosecurity:

«Проверки могут быть контролирующими органами, в первую очередь, РКН как регулятор в части защиты персональных данных. На сайте РКН должен быть перечень планируемых проверок с перечнем организаций».

Алена Игнатьева, старший консультант по консалтингу и аудиту информационной безопасности STEP LOGIC:

Обеспечение безопасности персональных данных (часть вторая)
Алена Игнатьева, старший консультант по консалтингу и аудиту информационной безопасности STEP LOGIC

«Проверками на соответствие требованиям по защите ПДн занимается Роскомнадзор. Плановые проверки осуществляются с предупреждением о проверке не позднее чем за 3 рабочих дня. В соответствии с новым Постановлением Правительства РФ от 29.06.2021 № 1046 периодичность плановых проверок зависит от отнесения деятельности оператора к определенной категории риска (основывается на соотнесении группы тяжести и группы вероятности – см подробности в 1046-ПП):

  • для организаций с высоким риском проверка осуществляется 1 раз в 2 года;
  • для организаций со значительным риском проверка осуществляется 1 раз в 3 года;
  • для организаций со среднем риском проверка осуществляется 1 раз в 4 года;
  • для организаций с умеренным риском проверка осуществляется 1 раз в 6 лет;
  • для организаций с низким риском проверки не проводятся;

Внеплановые проверки осуществляются с предупреждением о проверке не позднее, чем за 24 часа. Такие проверки могут быть осуществлены Роскомнадзором в следующих случаях:

  • оператор не исправил нарушения, которые у него нашли при предыдущей проверки;
  • была получена жалоба от граждан о нарушении их прав, перечисленных ст. 14-17 152-ФЗ;
  • проверка поручена Президентом, правительством РФ или прокурором;
  • сотрудник Роскомнадзора обнаружил нарушение в процессе наблюдения за оператором.

При этом Роскомнадзор фактически уполномочен проверять только требования, касающиеся обработки ПДн, а в части защиты ПДн проверяются только соответствующие требования статей 18.1 и 19 152-ФЗ. Полномочий и квалификации для детальной проверки реализации мер защиты у сотрудников Роскомнадзора фактически нет – они могут проверить наличие Модели угроз, но разбираться в ней и выдавать замечания о некачественной проработке не будут.

Также существует возможность привлечения сотрудников других регуляторов (ФСТЭК и ФСБ) в качестве экспертов для проверок Роскомнадзора. Это возможно, и в таких случаях действительно возможен детальный разбор реализации требований по защите ПДн. Но, фактически, данная практика используется в случаях, когда основанием для проверки являются факты нарушения требований по защите ПДн – утечки, разглашения данных и т.д.

Ну и отдельного упоминания стоят комплексные проверки ФСТЭК и ФСБ, в рамках которых могут быть проверены в том числе требования по защите ПДн. Такие проверки осуществляются, в частности, у лицензиатов данных служб.

Для успешного прохождения проверки от регулятора необходимо соблюдать требования законодательства РФ, а также подготовить документы, подтверждающие выполнение этих требований. Для самопроверок здесь могут пригодиться актуальные чек-листы проверок, которые можно найти в сети Интернет. В частности, при подготовке к проверке следует убедиться, что:

  1. Роскомнадзор добавил организацию в реестр операторов (исключения перечислены в разделе 2 статьи 22, 152-фз «О персональных данных»).
  2. В организации назначен и задокументирован ответственный за организацию обработки ПДн (статья 22.1, 152-фз «О персональных данных»).
  3. Сформированы и задокументированы организационно-распорядительные документы, включающие:
    • политику обработки ПДн (как работников организации, так и сторонних физических лиц) и данная политика опубликована на общедоступных ресурсах;
    • локальные акты по вопросам обработки ПДн;
    • документы, устанавливающие процедуры, направленные на предотвращение, выявление и устранение нарушений законодательства РФ о ПДн.
  4. Все работники ознакомлены под роспись с документами организации, устанавливающими порядок обработки ПДн работников, а также их права и обязанности (ТК РФ Статья 86).
  5. Организация имеет все необходимые согласия субъектов ПДн на обработку их ПДн (статья 9, 152-ФЗ «О персональных данных»), учитывая внесенные изменения с 1 марта 2021 года  (519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»).
  6. Отсутствует избыточность обрабатываемых ПДн в заявленных целях обработки ПДн. (раздел 5, статья 5, 152-фз «О персональных данных»).
  7. Надлежащим образом оформлены факты поручения/приема обработки ПДн (п. 3 ст. 6 152-ФЗ «О персональных данных»), передачи ПДн третьим лицам, включая трансграничную передачу (ст. 12 152-ФЗ «О персональных данных»).
  8. Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн с использованием баз данных локализована на территории РФ (первичная запись и накопление осуществляется на компонентах систем, находящихся на территории РФ) (п. 5 ст. 18 152-ФЗ «О персональных данных»).
  9. осуществляется проверка ограниченного доступа (пункт 13, 14, 15 Постановления Правительства №687 «Об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»)
  10. Выделены все информационные системы, в которых осуществляется обработка ПДн, проведено определение соответствующих уровней защищенности (в соответствии с Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 «»Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»»), сформированы требования по защите персональных данных и они реализованы с использованием необходимых мер защиты (в соответствии с Приказом ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и Приказом ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»)».

Ксения Шудрова, блогер shudrova.blogspot.com:

«Я думаю, что ежегодной проверки, инициированной службой ИБ, буде достаточно. Чтобы пройти проверку нужно достичь соответствия правильно оформленных документов и системы «в жизни».

Эксперты ГК Innostage (Валиуллина Жанна, эксперт по информационной безопасности ГК Innostage, Петров Илья, директор департамента продвижения собственных продуктов ГК Innostage):

«Проверки проводят в первую очередь РКН. Можно было бы еще назвать ФСТЭК России и ФСБ России. Но дело в том, что ФСТЭК не занимается конкретно ПДн, его основная тема: ГИС и КИИ. Для ФСБ – это СКЗИ и лицензии с ними связанные.

Согласно новым требованиям по проверке операторов РКН – будет использоваться риск-ориентированный подход, оценка тяжести негативных последствий для субъекта ПДн и вероятность реализации. В зависимости от того, к какому риск-профилю будет отнесен оператор возможны проверки раз в 2/3/4/6 лет. Также для группы низкого риска проверка не предусматривается.

Чтобы пройти проверку необходимо выполнить все требования 152 ФЗ и подзаконных актов. Соответственно определить процессы, перечень ПДн, цели и условия обработки. Согласно категории ПДн, обрабатываемой в компании, необходимо дополнительно выполнить требования регламентов РКН к отдельным категориям (биометрия, сведения о здоровье и пр.). Стоит перед проверкой провести аудит безопасности ПДн в компании, запросить анализ ОРД и пр. Важно! РКН не проводит анализ выполнения требований ФСТЭК России и ФСБ России в части защиты ПДн, однако, они могут в том числе обратить внимание на явное несоответствие».

Для каких случаев актуально обезличивание персональных данных? Приведите примеры.

Ксения Шудрова, блогер shudrova.blogspot.com:

Обеспечение безопасности персональных данных (часть вторая)
Ксения Шудрова, блогер shudrova.blogspot.com

«Для тех случаев, когда пора бы данные удалить, но они нужны нам дальше. Например, для статистики продаж. Например, я, как самозанятая, не храню персональные данные, но веду статистику продаж книги по месяцам, дням, за год и т.д. Мне важно в штуках, поэтому остаются лишь обезличенные записи о времени, дате и сумме покупки».

Эксперты ГК Innostage (Валиуллина Жанна, эксперт по информационной безопасности ГК Innostage, Петров Илья, директор департамента продвижения собственных продуктов ГК Innostage):

«Во-первых, важно понять, что по обезличиванию ПДн пока так и нет Методик, как и нет перечня сами способов/средств/методов.

Мое мнение– во всех случаях обработки ПДн актуально обезличивание. У каждого субъекта свое понимание того, какие его ПДн более чувствительные.

Если же отталкиваться от непосредственно категорий, то биометрические ПДн, сведения о здоровье, информация, касающаяся правоохранительных органов и судебной практики».

Александр Дворянский, директор по стратегическим коммуникациям Infosecurity:

«В системах, где нет необходимости прямой идентификации граждан. Например, работа с информацией по счетам, бухгалтерской информацией, взаимодействие с контрагентом, оказывающим сервисы, где нет прямого общения с заказчиком. Еще пример — проведение различных статистических исследований».

Леонид Чуриков, ведущий аналитик «СёрчИнформ»:

Обеспечение безопасности персональных данных (часть вторая)
Леонид Чуриков, ведущий аналитик «СёрчИнформ»

«Подобные решения применяются во множестве стран и множеством компаний, в первую очередь, конечно, ИТ-гигантами, телеком-операторами и другими организациями для изучения потребительских предпочтений, чтобы лучше настроить рекламу или сделать более релевантное коммерческое предложение. Например, на основе обезличенного массива данных геолокаций можно узнать, как часто жители микрорайона ходят в магазин «у дома», а как часто – ездят в гипермаркет. Обезличивание подойдет для медицинских данных. Например, чтобы выстраивать корреляции между местом жительства и диагнозом; между различными медицинскими показателями, возрастом, полом и т.д.

Таким образом, обезличивание позволяет сделать информацию более доступной для анализа обществу и бизнесу.

Но останется открытым вопрос, каким способом обезличивать данные и насколько тщательно. Есть два метода, как это сделать. Более безопасный – когда персональная информация (имя, телефон и т.д.) полностью удаляется. Так у исследователей появляется полная статистическая картина при гарантии анонимности для владельцев ПДн.

Второй вариант – скрыть информацию под нечитаемыми символами. Если оператор ПДн решит скрыть под символами все ПДн – это нормально. Но иногда используется частичное обезличивание, например, «М…н М…ро». Вот тут уже можно идентифицировать личность. Пользователя могут уверить, что его данные обезличили, но каким образом и насколько надежно – такую информацию он не получит. Теоретически, это может сделать регулятор, но у него должны быть инструменты, чтобы провести соответствующий аудит. Если данные будут хорошо и правильно обезличены, к ним не нужно применять требования по закону о защите ПДн, т.к. они становятся просто статистическим массивом.

Но теоретическая вероятность персонализации даже обезличенных данных все равно сохраняется. Можно, к примеру, не обладая данными о самом человеке, только по его обезличенному маршруту установить место жительства и работы, а также факты посещение им медицинских, религиозных или иных учреждений. А это уже информация, относящаяся к персональным данным. В том числе, так называемым «специальным», то есть наиболее чувствительным, к которым относится вероисповедание, политические взгляды, медицинские сведения и так далее».

Суховей Денис Владимирович, Директор по продукту в компании «Аладдин Р.Д.»:

Обеспечение безопасности персональных данных (часть вторая)
Суховей Денис Владимирович, Директор по продукту в компании «Аладдин Р.Д.»

«Обезличивание персональных данных становится самостоятельной мерой безопасности, требующей системного подхода к реализации и соответствующего профессионального инструментария.

Обезличивание ПДн может потребоваться в целом ряде бизнес-задач:

  • тестирование новых версий ПО информационной системы
  • передача выборки СУДБ сторонним разработчикам
  • стресс-тесты и оптимизация производительности информационной системы
  • аналитика и статистический учет информации
  • учет событий, в т.ч. событий ИБ
  • и т.п.

К выгрузкам баз данных предъявляется множество требований — адекватность, актуальность, реалистичность и т.п. Как и сказано выше, задачи обезличивания ПДн необходимо решать на системной основе».

Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT:

«Наиболее распространенный пример – это когда необходимо предоставить доступ к сведениям практически неограниченному кругу лиц, но при этом не хотелось бы раскрывать все ПДн. Например, сейчас любой желающий может зайти на сайт Российского Союза автостраховщиков и проверить действительность полисов ОСАГО, или номеров паспортов, зайдя на госуслуги. Предоставлять такую возможность без обезличивания невозможно. Например, в рамках наших проектов по ПДн мы всегда стараемся определить минимальный состав сведений, который действительно нужен в той или иной системе. В некоторых случаях удается обойтись сбора ПДн или исключить их автоматизированную обработку, это позволяет существенно снизить затраты на внедрение СЗИ».

Максим Степченков, совладелец компании RuSIEM:

«Для статистических исследований в различных областях, например, медицине, а также для целей маркетинговых исследований, а также тестовых баз, особенно если к ним получают доступ внешние подрядчики».

Емельянников Михаил Юрьевич, управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»:

Обеспечение безопасности персональных данных (часть вторая)
Емельянников Михаил Юрьевич, управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»

«С обезличиванием ситуация у нас в стране очень запутанная. С одной стороны, часть 7 статьи 5 Закона о персональных данных фактически приравнивает по последствиям для субъекта обезличивание к уничтожению персональных данных, допуская возможность именно обезличивания, а не только уничтожения персональных данных при достижении целей их обработки или утраты надобности в достижении цели, поставленной при сборе персональных данных.

С другой стороны, с некоторого времени, примерно с 2016 года, Роскомнадзор при проверках стал рассматривать как нарушение обезличивание персональных данных в случаях, когда этот способ обработки не определен законодательно применительно к деятельности конкретного оператора.

Такое требование в приказе Роскомнадзора к методам и способам обезличивания, как обратимость, привело к тому, что в новых законах и нормативных актах, например, об экспериментальных правовых режимах или о единой биометрической системе, требуется в отношении обезличенных данных выполнять все требования, установленные для персональных данных, что сводит на нет преимущества обезличивания.

Проблема в том, что российский закон не различает анонимизацию, когда данные перестают иметь связь с конкретными субъектами («мужчина в возрасте от 40 до 50 лет, проживающий в Южном федеральном округе») и псевдонимизацию (замену идентифицирующих данных, например, имени и фамилии, на условный индекс, с сохранением в системах оператора связи между ними). Такие явные различия есть, например, в регламенте Евросоюза GDPR, который вообще не распространяется на анонимные данные, но регулирует вопрос оборота псевдонимизированных.

И здесь также нужны законодательные изменения, поскольку без обезличенных или анонимизированных данных многие виды деятельности, научной или коммерческой, существовать и развиваться не могут, например, такие как медицина или андеррайтинг в страховом и банковском деле.

В целом обезличенные данные всегда позволяют снизить риски неправомерных действий в отношении данных и возможные негативные последствия для субъекта персональных данных в случае инцидента».

Соглашаясь на «общедоступность» персональных данных, чем мы рискуем?

Александр Дворянский, директор по стратегическим коммуникациям Infosecurity:

Обеспечение безопасности персональных данных (часть вторая)
Александр Дворянский, директор по стратегическим коммуникациям Infosecurity

«Если это персональные данные, которые вы/или компания-подрядчик оцениваете как «безопасные/общедоступные», то их компрометация особо не страшна. Если это «биометрические» или «специальные» данные, то это критично с точки зрения потенциального ущерба и штрафных санкций от регулятора. В итоге основной риск для субъекта персональных данных лежит в корректности, глубине оценки при присвоении статуса «безопасный».

Емельянников Михаил Юрьевич, управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»:

«С вступлением в силу с 1 марта 2021 года нормы о согласии на распространение персональных данных понятия общедоступных персональных данных в нашем законодательстве, строго говоря, больше нет, хотя есть общедоступные источники таких данных. Теперь на распространение персональных данных, то есть предоставление к ним доступа неограниченного круга лиц, в том числе на ресурсах (сайтах) в сети Интернет субъект должен дать отдельное согласие. И это его выбор — поделиться сведениями о себе в личных интересах или оставить их в тайне.

Но надо понимать, что даже если согласие на распространение ограничивает возможные действия с персональными данными иных лиц, конфиденциальность они утрачивают в любом случае, и рассчитывать на выполнение всех условий их использования, указанных в таком согласии, всеми лицами, получившими к ним доступ, было бы очень наивно. Сделать данные доступными неограниченному кругу лиц, по последствиям для субъекта равноценно тому, что написать их на заборе. Со всеми последствиями таких действий».

Эксперты ГК Innostage (Валиуллина Жанна, эксперт по информационной безопасности ГК Innostage, Петров Илья, директор департамента продвижения собственных продуктов ГК Innostage):

«Для начала важно напомнить, что более нет термина общедоступные ПДн. С недавних пор появилось понятие ПДн, разрешенных к распространению.

Таким образом, согласие на разрешение к распространению грозит всеми последствиями, связанными с приватностью. В России приватность не расценивается так же серьезно, как в ЕС, например. Риски высоки – это может быть и просто попадание на мошенников, как и явный шантаж. Уже давно благодаря соц. сетям и данным, собираемыми поисковыми системами не надо никого «вычислять по IP», достаточно просто немного поискать в Интернете, причем полностью легальными способами.

Big-Data данных соц. сетей также используется маркетологами, HR, правоохранительными органами. Система профилирования уже не кажется чем-то фантастическим».

Ксения Шудрова, блогер shudrova.blogspot.com:

«Нужно помнить, что согласие можно всегда отозвать, это раз. Но в то же время, все, что когда-либо было опубликовано в сети, в ней и останется, это два. При этом существует «право на забвение», это три».

Леонид Чуриков, ведущий аналитик «СёрчИнформ»:

«Рискуем обнаружить свои ПДн в свободном плавании в интернете. Массивы персональных данных, как минимум, начинают кочевать по рукам предприимчивых маркетологов. А как максимум – использоваться для серьезного мошенничества.

Возьмем, к примеру, недавнюю утечку ПДн волонтёров переписи населения. По телефонным номерам можно однозначно идентифицировать пользователей — они регистрируются по паспорту. Восстановив данные, мошенники могут от имени волонтеров атаковать кого угодно, предлагая пройти анкетирование для того, чтобы выманить любые данные: паспортные, об имуществе и др. А утекшими в сентябре данными пользователей сервиса «Навигатор дополнительного образования Нижегородской области» мошенники могут воспользоваться, например, для совершения тревожащих родителей звонков о том, что с их ребенком что-то произошло и срочно нужны деньги.

Поэтому лучше придерживаться принципа «минимально достаточной информации». Если сервис просит заполнить объемную анкету для регистрации, это совершенно не обозначает что ее нужно заполнять полностью».

Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT:

«Если говорить про навязчивую рекламу, то мы «попадаем» на нее даже если не соглашаемся на «общедоступность». Но такие чувствительные сведения как номер паспорта или кредитной карты – точно не стоит делать доступными, этим мы открываем мошенникам возможность распоряжаться нашими средствами и имуществом. Я хочу напомнить, что согласие – это акт добровольный. Подумайте, прежде чем разрешать доступ неограниченного круга лиц к информации о вас. Если данные вдруг «утекут», то никакой отзыв согласия уже не гарантирует того, что они не будут использованы третьими лицами».

Александр Хонин, руководитель отдела консалтинга и аудита группы компаний Angara:

«Основные риски при передаче наших персональных данных связаны с их бесконтрольным использованием в последующем. Например, разместив свои персональные данные на конкретном ресурсе и тем самым признав их общедоступными, вы должны осознавать вероятность того, что в последующем они могут быть распространены за пределы данного ресурса. И отследить их, а тем более ограничить к ним доступ, представляется практически невозможным».

Максим Степченков, совладелец компании RuSIEM:

«Все зависит от репутации и добросовестности оператора – владельца ресурса, где они размещены. Но я бы рекомендовал пока что не делать свои персональные данные общедоступными».

В чем разница между отечественным и западным законодательством по защите числе персональных данных?

Александр Дворянский, директор по стратегическим коммуникациям Infosecurity:

«Основная принципиальная разница в том, что GDPR имеет экстерриториальную область действия, т.е. компании, находящиеся за пределами экономической зоны Евросоюза, обязаны выполнять требования регулятора».

Леонид Чуриков, ведущий аналитик «СёрчИнформ»:

«Если под западным законодательством имеется ввиду GDPR, то уместно говорить про европейский подход. Российское и европейское законодательство в области защиты данных отличается четырьмя принципиальными вещами:

  1. В европейском законодательстве во главу угла поставлен пользователь. Он является владельцем данных, несмотря на то, что они были переданы оператору ПДн. И вся регуляторика создана для того, чтобы защитить его интересы, не затронув при этом свободу распоряжаться данными по своему усмотрению.
  2. GDPR устанавливает существенные штрафы для операторов ПДн. Это стимулирует организации, от крупных до малого бизнеса, жестко придерживаться правил европейского регламента.
  3. GDPR делает упор на проработку методик ИБ, помимо самих требований и ответственности за их нарушения.
  4. В ЕС ситуацию контролирует единый центр, который обладает технической и юридической экспертизой для этого. В России ситуация другая, здесь регуляторов много и ответственность распределена между ними, обычному пользователю, который обнаружил свои данные в открытом доступе, не всегда понятно, куда кинуться, чтобы защитить свои права.

Можно ли утверждать, GDPR гораздо лучше ФЗ-152? Откровенно говоря, нет. Главная цель – распространить действие Регламента на все страны – так и не достигнута. А реальных юридических инструментов воздействия на государства вне Евросоюза у GDPR не больше, чем у ФЗ-152. Два принципиально разных подхода – российский и европейский – не смогли заставить соседей соблюдать собственные правила.

Эффективнее всего защиту данных, не только персональных, обеспечивают ИТ-корпорации, которые понимают реальную уязвимость информации и трезво оценивают риски от ее противозаконного использования. Эти глобальные операторы данных (Google, Facebook и другие) транснациональны, обладают всеми необходимыми ресурсами и мотивированы серьезно защищать данные».

Роман Писарев, руководитель департамента аудита и консалтинга iTPROTECT:

«Разница принципиальная. Наше законодательство идет по пути установки конкретных правил защиты и установки относительно небольших штрафов за их нарушение. Например, в Европе, GDPR, вводит некие принципы защиты данных, но без конкретики по реализации. И штрафы достигают вплоть до 20 млн евро или до 4 % от оборота за предыдущий финансовый год. Такие суммы окупают внедрение всех средств защиты, выстраивание процессов, контроль за уровнем защищенности. Причем, к регулярным проверкам со стороны регуляторов добавляются еще активности со стороны добровольных комитетов по выявлению нарушителей, коллективные иски и прочее».

Александр Хонин, руководитель отдела консалтинга и аудита группы компаний Angara

«Основным отличием между российским и западным законодательством является направленность законодательства по защите персональных данных. Наше законодательство, в первую очередь, нацелено на операторов персональных данных, то есть компании, осуществляющие их обработку. Поэтому его основная цель – выстроить требования по обработке и защите персональных данных и заставить их выполнять. При этом очень часто из данного процесса выпадает сам субъект персональных данных, а вернее, его интересы. Хотя вся идеология по защите персональных данных как раз должна быть нацелена именно на соблюдение интересов субъектов персональных данных. В Европе, если мы посмотрим их основополагающий документ GDPR, главным действующим лицом данного документа является субъект персональных данных, на соблюдение интересов которого и ориентированы все прописанные требования».

Эксперты ГК Innostage (Валиуллина Жанна, эксперт по информационной безопасности ГК Innostage, Петров Илья, директор департамента продвижения собственных продуктов ГК Innostage):

«Самая большая разница в том, что западное законодательство написано так, чтобы защитить субъекта ПДн. Основа защиты субъекта – его приватность. Потому, например, GDPR предполагает возможность анонимизации (необратимый процесс) ПДн субъектов, тогда как законодательство РФ только обезличивание (псевдонимизацию, т.е. всегда обратимый процесс). Отсюда и все расхождения: строгость информирования при инциденте, высокие штрафы. Это правда и минус отчасти – так как компания попадает под атаку хакерских организаций ввиду возможности шантажа и предложения заплатить меньше, чем штраф за утечку. В России каждый субъект – сам за себя. Произошла утечка, ты о ней и не узнаешь (ведь у нас нет требования информировать субъекта о произошедшей утечке) и сам должен провести шаги по защите аккаунтов, повысить осведомленность в части новых видов мошенничества и пр.

Также разница в объеме собираемой информации. Не буду упоминать, что у большинства компаний объем собираемых данных не соответствует целям сбора».

Максим Степченков, совладелец компании RuSIEM

«Если сравнивать GDPR и 152-ФЗ, то отличия есть – несмотря на то, что эти нормативные акты защищают персональные данные субъекта. Для меня основное это штрафы – наших штрафов никто не боится».

Ксения Шудрова, блогер shudrova.blogspot.com:

«Наше законодательство в области персональных данных направлено на выполнение долга перед государством. Мы обязаны защищать персональные данные других граждан, которые попадают к нам, соблюдая определенные требования. Хотелось бы больше выплат субъектам персональных данных от оператора в случае утечки информации».

Какие изменения ждет законодательство в области защиты персональных данных в России?

Леонид Чуриков, ведущий аналитик «СёрчИнформ»

«ФЗ-152, главный закон, который регулирует персональные данные в России, уже неоднократно менялся и продолжает активно меняться. Даже в этом году уже были изменения, они касались требований к средствам защиты. Мы активно выступаем с инициативами по доработкам.

Есть два направления работы.

Первое – это ужесточение ответственности за нарушения в сфере оборота персональных данных. Сейчас мы видим существенный юридический перекос между кражей и разглашением данных: последствия для человека, чьи ПДн были потеряны в результате обоих нарушений одинаковая, но закон предусматривает совершенно разную ответственность для нарушителя. За кражу предусмотрена уголовная ответственность, так как хакерская атака является неправомерным доступом к конфиденциальной информации. А разглашение – это правомерный доступ, потому что у человека, который данные разглашает есть право обращения к ним. И почему-то закон предусматривает за это минимальный штраф. Но тенденция в мире идет к ужесточению финансовой ответственности и за такие нарушения. Я думаю, что Россия пойдет по этому пути и будет усреднять ответственность в соответствии с европейским GDPR.

И второе изменение, которое скорее всего ждет законодательство в области защиты ПДн, – упрощение самого законодательства и создание понятных регламентов по работе с персональными данными. Сейчас этот момент описывается 19 ст. 152-ФЗ, которая корректировалась давно, когда еще не было таких угроз, как сейчас. Кроме того, закон описывает мало прикладных защитных мер, которые были бы понятны операторам ПДн. Все практические меры описаны не в законе, а в приказах регуляторов. Малый бизнес, который сейчас является основным держателем ПДн, просто не знает об их существовании. Да и значительная часть малого бизнеса вообще не считает себя оператором персональных данных».

Ксения Шудрова, блогер shudrova.blogspot.com

«Хочется, чтобы развивалось понятие «вред субъекту». Мы должны научиться его адекватно оценивать и возмещать».

Александр Дворянский, директор по стратегическим коммуникациям Infosecurity

«Основные насущные вопросы уже решены. Повысилась ответственность за нарушение обработки персональных данных, вышла новая методика моделирования угроз ФСТЭК вместо базовой модели угроз. В ближайшем будущем ожидается что ФСТЭК переработает базу данных угроз».

Эксперты ГК Innostage (Валиуллина Жанна, эксперт по информационной безопасности ГК Innostage, Петров Илья, директор департамента продвижения собственных продуктов ГК Innostage):

«Возможны повышения штрафов в части нарушения законодательства для юридических лиц. Уже был прецедент: на отсутствие реакции по выполнению требований РКН в Facebook были приостановлены возможности всех платных услуг на территории РФ. Таким образом удалось добиться выполнения ряда требований. Это создаёт прецедент, что управление штрафами повышает уровень выполнения требований. Важно заметить, что в анонсах не говорили о том, будет ли предусматриваться ответственность за утечку ПДн, якобы процесс не всегда отследить. Дополнительно ожидаются новые программы повышения квалификации экспертов в области ИБ. Скажется на законодательстве и концепция перехода на отечественное ПО и ТС. Это уже коснулось банковской сферы и КИИ».

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *