Организация защиты персональных данных в России от несанкционированного доступа основана на международном законодательстве в сфере информационных прав личности. Его нормы введены в Трудовой кодекс в соответствии с международными обязательствами России и протоколами МОТ (Международной организации труда). Отдельно принят закон «О защите персональных данных», определяющий процедуры обеспечения безопасности. Отказ от соблюдения требований законодательства может привести к репутационному и финансовому ущербу, штрафам и уголовному преследованию. 

Концепция обеспечения безопасности данных

Значимость требований по безопасности данных граждан очень высока. Российский законодатель, опираясь на международную практику, смог выработать систему ответственности за несоблюдение своих требований, в которой косвенные наказания – предписания ЦБ, поручения о смене ПО могут оказаться опаснее, чем предусмотренные КоАП. Если банк, лизинговая или страховая организация, брокер не выполняет обязанности по защите ПД при организации финансовых трансакций в национальной платежной системе, невыполнение предписаний регулятора может привести к отзыву лицензии на осуществление банковской или страховой деятельности. Для обычного оператора ПД Роскомнадзор может подготовить предписание, обязывающее его приостановить деятельность, связанную с обработкой ПД, до устранения нарушений.

Зарубежные основы российского законодательства в сфере ПД

Концепция privacy или приватности – обеспечение безопасности любой информации о личности – не нова для Европы. Право на неприкосновенность тайны частной жизни прописано уже в Конвенции о защите прав человека и основных свобод 1953 года. В период развития информационных технологий огромный массив данных о гражданах оказался в электронном виде и практически во всеобщем доступе, что привело к принятию блока мер, регулирующих распространение и охрану персональных данных.

Первым значимым документом в этой сфере оказалась Конвенция № 108 Совета Европы об охране прав физических лиц при автоматизированной обработке данных. Она была подписана в 1981 году и ратифицирована Россией в 2001-м. 

Документ содержит определение персональных данных, ставшее общепринятым, и основные принципы их обработки:

• использование данных только для определенных и четко обозначенных в нормативных документах целей;
• обработка ПД ведется в пределах конкретных сроков, после чего они уничтожаются;
• неизбыточность и актуальность обрабатываемых данных;
• ограничение трансграничной передачи;
• правила охраны ПД;
• гарантированные права физического лица на изменение, блокировку или удаление ПД по его заявлению.

С учетом новых реалий Конвенция неоднократно дорабатывалась. В конце 2018 года страны-участницы, включая Россию, подписали Протокол № 223 к ней, содержащий комментарии о последних технических новинках и появлении новых информационных объектов.

В новой версии возникли нормы, регулирующие:

• повышенный уровень безопасности биометрических и генетических данных;
• права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом и нейронными сетями;
• обязанность разрабатывать механизмы охраны ПД уже на стадии проектирования информационных сетей и программного обеспечения;
• обязанность уведомлять регулятора обо всех случаях утечек ПД.

Эти нормы пока не в полной мере отражены в российском законодательстве, касающемся общих принципов обеспечения безопасности ПД. Относительно ПД работников и лиц, проходящих собеседования, аналогичные нормы появились в нормативной документации МОТ. Они практически без изменений были включены в Трудовой кодекс РФ.

Безопасность ПД в России

Россия, планируя вступить в ВТО, должна была ратифицировать большой пакет международных нормативных актов, внеся их нормы в национальное законодательство. Так, в нем появилось понятие персональных данных и основные принципы их защиты. Созданное в рамках конвенции Совета Европы определение почти без изменений вошло в первую редакцию закона «О персональных данных» от 27.07.2006. Согласно этой формулировке, под ПД следует понимать любую информацию о физическом лице, которое определено этой информацией, или которая дает возможность идентифицировать его.

Закон определил основную терминологию и ввел первые требования, связанные с безопасностью ПД в процессе обработки. Изменения 2011 года существенно расширили требования к безопасности данных. Изменения 2014 года исключили возможность обработки данных российских граждан на серверах, расположенных за пределами России. 

Применение законодательства

Контроль за соблюдением норм закона обеспечивает Роскомнадзор. В постановлениях правительства, например, № 1119, более подробно и четко, чем в статьях закона, регламентируются правила обеспечения безопасности данных. 

Статья 19 закона «О персональных данных» – основная, определяющая обязанности операторов по защите персональных данных. В ней говорится, что компаниям-операторам следует обеспечить установленные Постановлением Правительства № 1119 уровни защищенности ПД. Это требования по принятию организационных, технических и программных мер, снижающих риск возникновения угроз информационной безопасности.  Первое требование, которое придется выполнить компании, заявившей себя в качестве оператора данных, – это построение модели угроз, отражающей ситуацию, характерную для ее информационной системы. 

Опираться для решения задачи потребуется на:

• утвержденную ФСТЭК РФ в 2008 году «Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Методические рекомендации ФСБ РФ от 2015 года для определения угроз безопасности ПД, предназначенные для государственных органов и операторов, использующих СКЗИ.

Кроме того, в 2015 году ФСТЭК дополнил рекомендуемую им концепцию мер безопасности новым документом – «Методикой определения угроз безопасности информации в информационных системах». По сути, он предназначен для государственных информационных систем, к которым предъявляются повышенные требования, но частные компании могут взять методику на вооружение. Она содержит ясные правила и рекомендации. 

ГИС (государственные информационные системы) создаются на принципах трех степеней безопасности: максимальной – для систем федерального уровня, средней – для региональных, невысокой – для местного уровня. Оператор может соотнести свою деятельность с любым из этих уровней.

Закон «О персональных данных» в ст. 5 обязывает государственные органы разрабатывать модели угроз для отраслей, находящихся в рамках их компетенции. Так, ЦБ РФ подготовил и постоянно обновляет модель угроз для банков, финансовых и страховых организаций, Минсвязи и Министерство здравоохранения – для операторов связи и медицинских учреждений соответственно.

«СёрчИнформ КИБ» контролирует максимальное количество каналов передачи информации, защищая компанию от утечек данных. 

Нормативные акты ФСТЭК

Компания, которая в ходе своей деятельности получает и обрабатывает ПД физических лиц, признается оператором данных, и закон возлагает на нее широкий спектр обязанностей по их безопасности от утечек и охране прав граждан в процессе обработки. Эти обязанности могут быть частично переданы сотруднику, который занимается их обработкой, в том числе провайдеру облачных технологий, если часть конфиденциальной информации хранится на облачном сервере. 

К основным обязанностям оператора Постановление Правительства № 1119 относит применение организационных и технических мер для обеспечения требуемого уровня защищенности ПД. Выбор уровня зависит от категории данных, количества записей и типа актуальных угроз.

Постановление делят угрозы на три типа:

• первый – охрана данных должна быть связана с отсутствием в используемом системном программном обеспечении незадекларированных возможностей;
• второй – охрана ПД должна быть связана с отсутствием в используемом прикладном программном обеспечении незадекларированных возможностей (НД);
• третий – наличие или отсутствие НД не влияет на концепцию обеспечения безопасности данных.

Выбор уровня защищенности, а их четыре, зависит от того, чьи данные обрабатываются – только сотрудников оператора или их и третьих лиц, и от того, сколько в системе записей – более или менее 100 000. 

После определения основных положений и уровней безопасности в Постановлении Правительства № 1119, которое определяет классы информационных систем, начинается зона регулирования ФСТЭК. Приказ ФСТЭК № 21 определяет состав и порядок применения организационных, технических и программных мер в отношении всех операторов данных. Приказ № 17 описывает структуру безопасности государственных информационных систем, дополнительно освещая вопрос защиты ПД. С точки зрения применения криптографических мер – средств шифрования – следует изучить Приказ ФСБ России № 378.

Наиболее ценная для операторов ПД информация содержится в Приказе ФСТЭК № 21. Он распространяется на частные компании. Описывает конкретные меры, направленные на обеспечение безопасности данных.

Важным моментом является указанное в п. 4 разрешение для операторов информационных систем обработки данных с четвертым уровнем защиты не применять сертифицированные технические и программные средства в случае отсутствия закрываемых ими актуальных угроз, а в п. 6 указано, что переоценка эффективности системы должна проводиться не ежегодно, а раз в три года.

Оба документа – и приказ № 17, и приказ № 21 – рекомендуют владельцам систем общий алгоритм выбора мер обеспечения безопасности данных, применимых в их ситуации с учетом особенностей обрабатываемых ПД. 

Алгоритм включает:

• определение модели угроз;
• выбор базовых мер из числа предложенных регулятором;
• анализ базовых мер с учетом особенностей ИС, релевантных угроз и имеющегося оборудования, исключение избыточных. Выбранные меры дополняют теми, которые регулятор предлагает в качестве дополнительных для нейтрализации полного спектра угроз;
• дополнение выбранного варианта обеспечения безопасности мерами, устанавливаемыми другими документами, применяемыми в конкретном случае. Например, для банков это будут Инструкции Банка России.

Упоминание о компенсирующих мерах, которыми можно заменить базовые в случае невозможности в полной мере выполнить требования регулятора, содержится в п. 10 Приказа ФСТЭК № 21. Если особенности ИС оператора таковы, что возникает необходимость использовать сертифицированные программные средства, требуется ориентироваться на их уровни, определяемые регулятором. 

Сертифицированные межсетевые экраны, системы обнаружения вторжений, средства антивирусной защиты информации, средства доверенной загрузки, средства контроля съемных машинных носителей, операционные системы получают классы защищенности от 1-го (максимальный) до 6-го (минимальный). Средства вычислительной техники (серверы) сертифицируются по семи классам. По категории отсутствия незадекларированных возможностей программные средства защиты информации сертифицируются по четырем классам.

Список всех сертифицированных программных и технических средств размещен на сайте ФСТЭК, но следует помнить, что срок действия сертификата ограничен. Если установленное ранее ПО своевременно не было обновлено при выходе новой версии, получившей собственный сертификат, его использование будет нарушением.

Приказ № 21 приводит перечень мер, которые должны быть реализованы в организации, чтобы в полной мере обеспечить безопасность данных:

• идентификация и аутентификация сотрудников и информационных ресурсов;
• создание модели дифференцированного доступа;
• использование межсетевых экранов;
• защита дисков и съемных носителей информации от несанкционированного доступа;
• выявление и регистрация событий безопасности с возможностью чтения архива и анализа информации;
• антивирусная защита;
• использование средств обнаружения вторжений;
• регулярный мониторинг состояния защищенности ПД;
• безопасность данных, размещенных в облачной среде;
• принятие организационных мер для защиты серверов и компьютеров;
• реализация системы выявления инцидентов информационной безопасности, уведомления о них и реагирования на них.

Частные компании более свободны в выборе мер безопасности и относительно защищены от проверок. По законодательству Роскомнадзор не вправе проводить плановые проверки чаще, чем раз в три года, а для внеплановых требуется согласие прокуратуры. Государственные органы, подчиняющиеся при создании систем защиты ПД требованиям Приказа ФСТЭК № 17, менее свободны, их система должна быть аттестована, прежде чем в ней будет позволено обрабатывать данные. Операторы ГИС вправе устанавливать только сертифицированное программное обеспечение. Каждые пять лет их информационные системы подлежат переаттестации на соответствие требованиям Постановления Правительства № 1119 и Приказа ФСТЭК.

Государственная информационная система проходит следующие этапы:

• формирование требований к защите информации;
• разработка ТЗ на создание программных и технических средств по обеспечению безопасности ПД, безопасной конфигурации системы;
• разработка и внедрение системы;
• аттестация системы;
• обеспечение защиты информации в ходе эксплуатации ИС и при выводе из эксплуатации.

Разработка технического задания всегда начинается с создания модели угроз. Пункт 14.3 Приказа ФСТЭК № 17 говорит о том, что для этого необходимо использовать банк данных угроз, который ведет ФСТЭК, он размещен на сайте ведомства. Выбор средств обеспечения безопасности зависит от класса системы, их три. Рекомендуемые меры защиты и программные продукты для каждого класса озвучены в приложении к приказу.

Для ГИС первого класса необходимо обеспечить меры защиты данных от нарушителей с высоким потенциалом, к ним ведомство относит иностранные технические разведки.

Для второго класса рекомендуется рассматривать угрозы, исходящие от нарушителей со средним потенциалом. Это профессионалы на рынке информации, хакеры, не обладающие потенциалом государственных структур.

Для систем третьего класса можно рассматривать только угрозы, исходящие от нарушителей с низким или базовым потенциалом. Это инсайдеры или лица, использующие для получения несанкционированного доступа общедоступные вредоносные программы.

При внедрении системы защиты следует учитывать, что позиции и инструкции ФСТЭК часто меняются, поэтому необходим мониторинг текущей ситуации. Это актуально, так как в ближайшее время российское законодательство может существенно обновиться благодаря ряду изменений, внесенных в международное законодательство.

Соотнесение международного и российского законодательства

В Евросоюзе не так давно был разработан и внедрен стандарт GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных). Он вызвал бурные споры, так как затрагивает интересы множества граждан и компаний. Попадают под его действие и российские организации, имеющие дочерние предприятия, филиалы и представительства за рубежом. Помимо необходимости выполнять требования Закона «О персональных данных», в том числе хранить сведения о работающих за границей сотрудниках только на российских серверах, они должны учитывать нормы GDRP.

Согласно Регламенту, под понятие персональных данных попадают сведения об IP-адресе, cookie-идентификаторах, данные о геолокации пользователя и иные технические атрибуты, а также такие непривычные для России параметры, как сведения о религиозном, экономическом и социальном статусе лица. Результаты профайлинга человека, или анализа его личности по особенностям поведения, мимики, лексики, также отнесены к ПД, доступ к которым должен быть ограничен.

Российские компании попадают под действие регламента, не только имея филиалы в ЕС, но и в следующих случаях:

• российский банк обрабатывает данные клиента-россиянина, находящегося в Европе;
• российский интернет-магазин имеет версию сайта на языках стран Евросоюза и использует cookie-файлы, а клиентами являются граждане ЕС.

Жестких требований и условий по обработке ПД в этих случаях нет, кроме настоятельного требования использовать шифрование и обезличивание ПД. Но есть отличия в полноте прав граждан – они могут отказаться от обработки данных средствами искусственного интеллекта и от применения в отношении них технологий профайлинга. Дополнительной обязанностью оператора становится оценка соблюдения прав и свобод личности в своей деятельности.

После того как весь пакет изменений в Европейской конвенции, отраженный в Протоколе № 223 к ней, будет внесен в российское законодательство, физические лица получат возможность квалифицированной помощи по вопросам некорректной обработки или утечек данных со стороны Роскомнадзора, а российские компании, на которые распространяются требования европейских норм GDPR (General Data Protection Regulation), смогут не применять избыточные правила, так как соответствие нормам Конвенции означает, что страна-участник обеспечивает адекватный правовой режим обработки ПД.

Быстрое изменение европейского законодательства в части обеспечения безопасности данных не всегда сразу отражается в российском законодательстве, сосредоточенном на технических тонкостях. Но в связи с ратификацией международных соглашений европейская практика скоро придет в Россию, и операторам к этому нужно быть готовыми.

07.12.2020