Адрес: https://polit.ru/article/2013/01/18/data/


18 января 2013, 22:41

О защите и о «защите» персональных данных

13 декабря 2012 года консультативный совет при Роскомнадзоре одобрил проект приказа об утверждении перечня зарубежных стран, не являющихся сторонами Конвенции Совета Европы «О защите личности в связи автоматической обработкой персональных данных», но адекватно защищающих персональные данные. Тем самым было выполнено требование Закона о защите персональных данных, и теперь все компании обязаны внести изменения в процедуры их обработки.

Критерии попадания стран в список достаточно просты и соответствуют требованиям Европейского союза, закрепленным в документе рабочей группы по защите прав частных лиц применительно к обработке персональных данных, принятом 24 июля 1998 года. Считается, что государство, не являющееся стороной Конвенции Совета Европы, обеспечивает адекватную защиту прав субъектов персональных данных, если в нем действуют соответствующие нормы права, осуществляет деятельность уполномоченный орган и обеспечивается правовая защита граждан в сфере персональных данных.

Таким образом, в список стран, общение с которыми не требует от оператора персональных данных принятия специальных мер, попали страны Совета Европы (согласно данным Роскомнадзора— 26 стран), а также Австралия, Аргентина, Израиль, Канада Марокко, Малайзия, Мексика, Монголия, Новая Зеландия, Ангола, Бенин, Кабо-Верде, Республика Корея, Перу, Сенегал, Тунис, Чили, Специальный административный район Гонконг Китайской Народной Республики и Швейцария.

Как видно из списка, в число стран с адекватной защитой не попали такие государства, как США, Япония, Индия, Китай, Украина и Турция, в то время как с ними активно работают очень многие компании. Не вошли в список и любимые всеми «туристические» страны — Египет, Тайланд, Мальдивы.

Это, естественно, не означает, что с ними теперь нельзя работать, но взаимодействие усложнится — как минимум потребуется письменное согласие субъекта. Хуже всего придется компаниям, размещающим свои серверы и базы данных в «несписочных» странах — им потребуется своими силами обеспечить защиту данных в соответствии с законом. В принципе можно, конечно, переехать, скажем, в Анголу или Кабо-Верде, но есть серьезные сомнения в том, что многие на это пойдут.

Состав списков может вызвать удивление, но, как ни странно, не все плохо только в нашей стране.

Возьмем для примера США и рассмотрим, как относятся к защите персональных данных здесь, где разработано большинство технологий, имеющих отношение к информационной безопасности.

Как ни странно, в отличие от большинства ведущих стран мира, в Соединенных Штатах Америки до сих пор отсутствует общефедеральное законодательство, касающееся защиты персональных данных. Имеющиеся акты (а их всего два - Privacy Act of 1974  и Privacy Protection Act of 1980) являются обязательными только для государственных организаций — частные компании могут воспользоваться этими рекомендациями, а могут и не воспользоваться. В случае нарушения прав субъектов персональных данных применяется практика прецедентного права.

Но даже действующие законодательные акты, регулируют далеко не все вопросы, касающиеся персональных данных. Поэтому, подобно тому, как в Российской Федерации в дополнение к закону о персональных данных действую приказы ФСТЭК и ФСБ, конкретизирующие требования законов ним действуют, в США в качестве рекомендаций по порядку обеспечения защиты данных применяются документы Национального института стандартов и технологий (NIST - National Institute of Standards and Technology). В частности, область защиты персональных данных описывает выпущенное NIST «Руководство по защите персональных данных» (SP 800-122), проект которого вышел в свет в январе 2009 (полный текст на англ. здесь, сокращенный русский перевод здесь). Этот документ содержит только самые общие рекомендации. При этом он помогает правильно задействовать нормативно-правовые акты внутреннего законодательства США, в которых отражены различные организационные, технические, юридические аспекты защиты данных и даже содержит примеры, в соответствии с которыми могут действовать организации.

Это достаточно хороший подход, которого так недостает нашим законодательным актам, из-за чего последние регулярно вызывают множество вопросов в области их правоприменения. Подход SP 800-122 коренным образом отличается от документов Правительства России (ПП 1119) и приказов ФСТЭК, которые фактически являются перечислением возможных средств и методов защиты с одним единственным требованием – использовать сертифицированные средства защиты. В США идут иным путем.

В американском документе первым требованием к защите данных является постоянное обучение сотрудников нормам безопасной работы с данными, тогда как у нас, как следует из документов правительства, в первую очередь следует обзавестись замком на двери в серверную.

А ведь совсем не секрет, что не исправность замков, а безразличие сотрудников к вопросам безопасности, непонимание ими важности соблюдения установленных правил и является основной причиной утечек информации. Сотрудники как правило не понимают ценности той информации, к которой они имеют доступ, не говоря уж о массовом безосновательном доверии их к своим контактам.

Обученные сотрудники должны знать:

  • как распознать персональные данные;
  • каковы требования законодательства;
  • какие существуют ограничения на сбор, хранение и использование персональных данных;
  • какова их ответственность и каковы их обязанности;
  • как можно безопасно обрабатывать ПДн;
  • как поступать в случае обнаружения нарушений, связанных с обработкой и защитой персональных данных;

А у нас пока сотрудники не всегда могут даже распознать персональные данные. Про знание требований законодательства вообще молчу.

Вторым требованием рекомендаций NIST является необходимость разработки политики в области обработки персональных данных (а не просто набора правил) создания процедур, описывающих

  • порядок доступа к персональным данным;
  • правила хранения персональных данных;
  • порядок реагирования на инциденты и устранения их последствий;
  • ограничения на сбор, раскрытие, передачу и использование персональных данных;

И все эти процедуры должны поддерживаться и развиваться!

Еще одним серьезным отличием американской инструкции являются рекомендации по минимизации используемых данных и их обезличиванию (то есть обработке и хранению в форме, не позволяющей идентифицировать субъекта). У нас таких просто нет, тогда как именно эти рекомендации позволяют вообще отказаться от многих средств зашиты и упростить множество процедур. Казалось бы простая мысль: если нельзя вычленить информацию о человеке, то и защищать ее куда проще. Но многие ли наши компании ее понимают?

И только после описания необходимого списка процедур и уровня знаний у американцев идут меры по защите:

  • Управление доступом
  • Аудит событий
  • Авторизация и идентификация пользователей
  • Маркировка, хранение и перемещение носителей информации
  • Защита при передаче информации (в том числе шифрование)
  • Мониторинг информационной системы

И это все! Желающие могут сравнить с проектом приказа ФСТЭК «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». 

Совершенно иной подход американского законотворчества можно только приветствовать – он идет от процедур к мерам по защите. Меры по защите не возводятся в самоценный абсолют. Совершенно логично – минимизируем защищаемые данные – определяем процедуры их обработки - и только потом распределяем права доступа и контролируем ход процедур. Только в этом случае меря по защите становятся эффективны. В приказах ФСТЭК присутствуют требования по наличию технических мер защиты – но любые меры защиты будут обойдены теми, кто не понимает, зачем их соблюдать.

Есть конечно в американском подходе и существенная ложка дегтя - требование по описанию процедур, их поддержанию, обучению пользователей нереализуемы для большинства компаний мелкого и среднего бизнеса – там просто нет ни специалистов соответствующего профиля, ни денег на их содержание.

Конечно, система защиты персональных данных в США не является безупречной. Атака на Всемирный торговый центр существенно изменила отношение к персональным данным в этой стране, законы которй теперь ставят своей целью не защиту неприкосновенности персональных данных, а максимальную открытость баз данных для скорейшего получения доступа к ним спецслужб. Кроме того, во многих штатах допускается мониторинг поведения сотрудников (естественно, только с их согласия) не только на работе, но и в нерабочее время. Этим, видимо, и объясняется включение США в список стран, не обеспечивающих адекватную защиту персональных данных.

Но об этом нужно задуматься еще и нашим гражданам, чиновникам и компаниям, активно использующим Twitter, создающим группы в Facebook, пользующимся почтой Google.Mail и хранящим данные в датацентрах за океаном.

Уже скоро, 28 января, во всем мире (а значит, и в нашей стране) будет отмечаться Международный день защиты персональных данных. Хороший повод вспомнить, что уровень защиты НАШИХ персональные данных от НАС.