Роскомнадзор ответил на обращение банкиров по поводу переноса сроков аудита ИС на соответствие 152-ФЗ. Ведомство посчитало, что изменять дату нецелесообразно, однако, признало, что для устранения существующих сложностей возможны изменения в законах, касающихся ПД.
Ассоциация региональных банков России получила официальный ответ федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) на обращение ее главы Анатолия Аксакова по поводу переноса сроков аудита на соответствие 152-ФЗ информационных систем, связанных с обработкой персональных данных (ИСПДн). В документе говорится, что изменение сроков нецелесообразно и с первого января 2010 г. все ИС операторов ПД должны будут соответствовать требованиям закона.
Кроме того, в ответе говорится, что «проблемные вопросы напрямую связаны с существующей методологией защиты ИСПДн, требующей проведения их классификации и использования криптографических средств защиты информации». Регулятор признает, что сегодняшняя методология сложна и затратна для большинства операторов. Роскомнадзор считает, что для устранения подобных сложностей возможны изменения в законах, касающихся ПД. Однако, ведомство не наделено соответствующими законотворческими полномочиями.
«С точки зрения буквы закона Роскомнадзор дал вполне корректный ответ, - заявил CNews Андрей Полозов-Яблонский, председатель комитета по электронным билетам Национальной ассоциации участников электронной торговли (НАУЭТ). – Для приведения систем в надлежащий вид закон предусматривал достаточное количество времени». Эксперт считает, что за те три года, которые были даны организациям, многие из них успели просто забыть о самом законе.
Анатолий Аксаков: Если сегодня Роскомнадзор будет проводить аудит соответствующих компаний, то ему нужно будет проверять ежедневно около 1000 организаций Полозов-Яблонский говорит, что многие компании ждали, во-первых, каких-то указаний от профильных для себя министерств, и, во-вторых, оглядывались на соседей по рынку. Если указаний не было, а коллеги не занимались защитой ПД, то организации полагали, что и им ничего делать не нужно.
«Фактически сейчас мы имеем очень большое количество работы и очень сжатые сроки. Компаний, которые имеют лицензию на проведение аудита, очень немного. Обработать весь массив операторов ПД в оставшееся время просто невозможно», - описывает сложившуюся ситуацию Полозов-Яблонский.
Эксперт замечает, что с первого января можно будет заходить практически в каждую компанию, имеющую отношение к обработке ПД, и выносить предписание в соответствии с требованиями закона. «Это вызовет паралич коммерческой деятельности, в кризис это никому не нужно. По самым разным причинам делать это нецелесообразно», - добавляет он. «Если сегодня Роскомнадзор будет проводить аудит соответствующих компаний, то ему нужно будет проверять ежедневно около 1000 организаций, - говорит Анатолий Аксаков, депутат Госдумы и президент ассоциации «Россия», инициировавший обращение в Роскомнадзор. – Что это нереально - прекрасно понимают все. А когда закон объективно невыполним, то возникают возможности для коррупции».
«Мы отталкиваемся от защиты субъектов ПД, - пояснила CNews Лариса Васильева, начальник управления по защите прав субъектов персональных данных Роскомнадзора. – Это наша основная задача, как уполномоченного органа. Мы считаем, что перенос сроков аудита информационных систем не скажется положительным образом на этой главной цели 152-ФЗ». Согласившись с тем, что количество лицензированных для проведения аудита компаний сейчас недостаточно, она добавила, что представители Роскомнадзора готовы встречаться с операторами ПД для обсуждения, в том числе, и этой проблемы. О чем и говорится во второй части ответа Роскомнадзора банкирам.
Дмитрий Назипов, старший вице-президент ВТБ, считает, что вторая часть письма действительно важна не менее первой. «То, что Роскомнадзор готов рассмотреть изменения в законодательной базе открывает перед операторами возможность внесения собственных предложений, - говорит он. – Однако законодательные инициативы возможны теперь только на осенней сессии». По словам Назипова, ответ не рассеял озабоченность операторов, и после летних каникул они вновь начнут вести работу по ослаблению требований закона. «Суровость федерального закона тяжело смягчить изменениями лишь подзаконных актов, хотя корректировать их, конечно, легче. Модифицировать же сам ФЗ возможно только при активных действиях лоббистских сил», - добавляет Назипов. Аксаков говорит, что осенью обязательно будут организованы парламентские слушания, на которых он с коллегами постарается доказать, что дату необходимо переносить.
Рассуждая о том, что еще можно предпринять, Полозов-Яблонский сказал, что было бы разумно определить период, в течение которого меры были бы лишь предупредительными. Но указать, что организации, получившие такие предписания, например, с первого января 2011 г. наказываться будут уже по самой верхней планке.
В феврале 2007 года вступил в силу Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных». Согласно ему организации и учреждения обязаны осуществлять мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах. Контролирующие органы – Россвязькомнадзор, ФСТЭК и ФСБ.
Закон №152-ФЗ призван защитить совокупность прав и свобод человека при автоматизированной обработке его персональной информации (адрес, номер телефона, семейное, социальное, имущественное положение, образование, профессия, размер доходов, отношение к религии, информация о его здоровье), в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
По сути, закон ставит своей целью ввести достаточно жесткие ограничения, которым должна следовать организация, обрабатывающая персональные данные. Персональные данные поделены на категории, чем выше категория – тем более серьёзные меры необходимо предпринимать для защиты данных. Стоит отметить, что наличие в штате госслужащих автоматически повышает категорию защиты персональных данных.
Организации, эксплуатирующие информационные системы персональных данных определенных классов, должны получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. Кроме того, технические средства, которые будут использованы для защиты персональных данных, должны быть сертифицированы ФСТЭК России. Именно методики ФСТЭК России должны быть положены в основу «Модели угроз» для каждой информационной системы, обрабатывающей персональных данных. Этот документ предстоит разработать каждому оператору персональных данных. Именно на выполнении этих аспектов оператором, скорее всего, и будут сфокусированы сотрудники ФСТЭК России, привлекаемые для проверок.
Закон также требует, чтобы организации, эксплуатирующие информационные системы персональных данных определенных классов и передающие персональных данных через общедоступные и международные сети обеспечили их защиту с использование криптографических средств. А деятельность по внедрению шифровальных (криптографических средств), как и по разработке телекоммуникационных систем, защищенных с использованием данных средств, подлежит лицензированию в органах ФСБ России. Так что специалисты ФСБ, в первую очередь уделят внимание наличию необходимых лицензий и использованию средств криптографической защиты информации, перечисленных в реестре ФСБ.
Предусмотрена серьезная ответственность за нарушение норм законодательства в области информационной безопасности по следующим статьям: УК РФ: ст. 272 п.п.1,2, ст. 171, Кодекса об административных правонарушениях РФ: ст.ст. 13.11, 13.14, 19.7 и др. Помимо ответственности, предусмотренной законодательством, необходимо отметить возможные последствия невыполнения закона в виде обоснованных исков от субъектов персональных данных к организациям и учреждениям, ведущим незаконную, либо не соответствующую требованиям ФСБ и ФСТЭК обработку персональных данных.
В рамках реализации требований данного закона, организациям в срок до 1 января 2010 года необходимо привести информационные системы в соответствие с законодательством. В большинстве случаев, выполнение требований закона невозможно без участия сторонних организаций, обладающими необходимыми лицензиями.