Уроки синхронного плавания: готовим ИС к аттестации по ФЗ-152

Логотип компании
До наступления ответственности по Федеральному закону ФЗ-152 "О персональных данных" остается чуть больше месяца
До наступления ответственности по Федеральному закону ФЗ-152 "О персональных данных" остается чуть больше месяца, и с каждым днем все больше организаций и ИТ-директоров понимают, что аттестовывать свою информационную систему придется. Сегодня все находятся в поиске информации, которая может помочь разрешить все проблемы.

В такой ситуации абсолютно естественно, что некоторые коммерческие компании за баснословные деньги предлагают взволнованным руководителям ИТ и подразделений безопасности свои услуги по подготовке и аттестации ИС предприятия. Давайте постараемся разобраться в этом вопросе и понять, что и сколько стоит, что можно сделать самостоятельно, а что желательно отдать стороннему консультанту.
Для начала синхронизируем понятия и разберемся, кто попадает под действие данного Федерального закона. Ведь руководители очень многих компаний склонны считать, что их организации не являются «операторами» персональных данных, и их настоящий закон не касается.

В Статье 3 Федерального закона говорится:
•    персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
•    оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Итак, исходя из буквы закона, персональные данные — это любые сведения, по которым можно однозначно идентифицировать физическое лицо; при этом любая организация, имеющая (обрабатывающая, накапливающая и проч.) у себя в информационной системе персональные данные даже только своих сотрудников уже является "оператором".  Все построились и стройными рядами пошли подавать уведомление об обработке персональных данных в уполномоченный орган (кроме исключений, предусмотренных законом).

Почему надо подать уведомление

Согласно статье 22 Федерального закона, оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять их обработку, за исключением случаев, предусмотренных частью 2 этой статьи.
Что же касается распространенного мнения, что не надо спешить с уведомлением уполномоченного органа, потому что «как только мы подадим уведомление, нас сразу же начнут проверять», то это не так. На самом деле все с точностью «до наоборот». Уполномоченный орган в первую очередь при составлении плана проверок будет обращать внимание на организации, не подавшие уведомление.
В дальнейшем, как указывает РОСКОМНАДЗОР, проверки будут формироваться по принципу 30% — плановые, и 70% — внеплановые. Причем, под внеплановые проверки в первую очередь попадут компании, у которых были зафиксированы утечки персональных данных, на которые были поданы жалобы и иски от граждан, и те организации, которым ранее уже были выписаны предписания.
На сайте РОСКОМНАДЗОРА есть раздел, где в открытом доступе можно ознакомиться со списком компаний, попавших в план ближайших проверок. Не поленитесь заглянуть. Что делать, подавать уведомление или не торопиться? Ответ прост: конечно, подавать и параллельно вести работу по подготовке своей ИС к аттестации.

Ответственность по Закону

Не будем детально обсуждать весь спектр возможных последствий нарушения ФЗ № 152 (это дело юристов), остановимся только на 2-х статьях.
На основании Статьи 23 Федерального закона Уполномоченный орган по защите прав субъектов персональных данных имеет право:
•    направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
•    направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

Статья 24 гласит, что лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность. Несмотря на обилие статей гражданского, уголовного и административного кодексов, по которым оператор может быть привлечен к ответственности, выделим главное. Уполномоченный орган может ходатайствовать о приостановке действия лицензии на основной вид деятельности оператора на срок до 90 дней. Дальше решать вам.

Кто должен заниматься подготовкой ИС к аттестации

Исходя из имеющейся статистики, далеко не каждая компания имеет в своем штате специалиста по информационной безопасности, в чьи непосредственные обязанности должна входить подготовка и аттестация ИС компании. Чаще всего в компаниях существуют подразделения ИТ и ИБ. Кто же должен заниматься в компании подготовкой и аттестацией ИС по требованиям Федерального закона?
Конечно, в каждой компании данный вопрос будет решаться индивидуально, но общую рекомендацию, наверное, можно  дать. Описание ИС, а точнее — ее части, в которой обрабатываются персональные данные (ИСПДн), конечно, должен делать специалист ИТ-подразделения, а вот общую документацию и меры защиты должен разработать и контролировать сотрудник безопасности. Четкое взаимодействие этих подразделений позволит компании минимизировать свои расходы при проведении аттестации ИС.
В любом случае обязательным (на основании ФЗ) является назначение ответственного за обеспечение защиты персональных данных, и не важно — будет это специалист из ИТ-подразделения или из безопасности, главное, чтобы он был в организации. Правильное распределение функций и ответственности между подразделениями обязательно принесет свои плоды. Конечно, всегда остается возможность привлечения стороннего консультанта, который сделает эту работу за вас. А теперь представьте, что вас назначили ответственным в компании за ИБ ПДн. Готовы ли вы отвечать по действующему законодательству за работу консультанта? Если нет — тогда давайте посмотрим, что можно сделать самостоятельно.

Что можно сделать самостоятельно

В таблице 1 приведен общий порядок действий при подготовке ИСПДн к аттестации. Конечно, данный порядок достаточно условен, и в каждой конкретной ситуации может быть уникален, но в общем случае не грех еще раз проверить готовность каждого блока.

Общий порядок действий при подготовке ИСПДн к аттестации

1

Инвентаризация ИС, обрабатывающих ПДн

2

Оценка законности обработки ПДн и наличие согласия субъектов на обработку

3

Контроль и корректировка договорных отношений с субъектами

4

Формирование перечня ПДн и проведение категорирования

5

Определение сроков и условий прекращения обработки ПДн

6

Присвоение класса ИСПДн.

7

Разграничение доступа пользователей  к ПДн в ИСПДн

8

Формирование документов, регламентирующих работу с ПДн

9

Формирование модели актуальных угроз

10

Разработка мероприятий по компенсации угроз

11

Направление уведомления об обработке ПД в уполномоченный орган

12

Приведение системы защиты ПДн в соответствие требованиям регуляторов

13

При необходимости, определенной методическими документами ФСТЭК России и ФСБ России, получить  необходимые лицензии

14

Аттестация ИСПДн

15

Эксплуатация ИС – мониторинг, выявление и реагирование на инциденты ИБ

16

Контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией


Таблица 1

Для сокращения затрат организации на подготовку ИСПДн к аттестации можно часть работ из списка выполнить самостоятельно. Объем работ, которые вы можете взять на себя, зависит только от квалификации ваших сотрудников и желания разобраться с руководящими документами.  Условно работу можно разделить на два блока.

1. Выполнить самостоятельно:
•    анализ процессов компании на предмет выявления ПДн;
•    аудит ИС на предмет оценки защищенности ПДн;
•    подготовка необходимых внутренних документов;
•    разработка плана технической защиты;
•    подготовка и подача уведомления в уполномоченный орган.

2. Передать лицензиату ФСТЭК следующие мероприятия:
•    определение категории информации;
•    определение класса системы;
•    разработка модели актуальных угроз;
•    разработка мер по компенсации угроз.

Если вы решили передать консультантам весь комплекс работ по подготовке вашей ИСПДн к аттестации, то проект опять же условно разделится на два этапа.

•    Этап 1. Обследование на соответствие защиты персональных данных требованиям ФЗ 152.
•    Этап 2. Проектирование комплексной системы защиты персональных данных в организации и разработка/совершенствование нормативной правовой базы, регламентирующей обработку персональных данных

Результаты этих этапов должны найти отражение в отчетных документах (см. таблицу 2).

Результаты 1-го этапа

Результаты 2-го этапа

1

Акты классификации ИСПДн

1

Проектная документация по системе защиты ПДн (СЗПДн)

2

Модели угроз безопасности ПДн для каждой выявленной ИСПДн

2

Необходимые внутренние нормативные документы

3

Заполненная форма уведомления для предоставления в Роскомнадзор

 

 

4

Отчет по проведенному обследованию на соответствие 152?ФЗ и другим подзаконным нормативным актам

 

 

5

План?график мероприятий

 

 

6

Техническое задание на создание Системы защиты персональных данных.

 

 


Таблица 2

Как выбрать консультанта

Наверное, по этому поводу сказать что-то новое в принципе невозможно, к выбору стороннего исполнителя надо подходить точно так же, как и к выбору подрядчика для любых других работ. Желательно, чтобы компания, которой вы отдадите преимущество, имела необходимый опыт проведения таких работ и являлась лицензиатом ФСТЭК, что позволит ей заниматься вашим проектом.
Какие лицензии должен иметь ваш консультант? Приведенный в таблице 3 список, несомненно, избыточен, но в данном случае мы постарались указать лицензии для максимального комплекса работ консультанта. Познакомится со списком лицензиатов ФСТЭК и их лицензиями можно на соответствующем информационном ресурсе

Список лицензий для максимального комплекса работ консультанта

1

Лицензия Управления ФСБ России на осуществление работ, связанных с использованием сведений, составляющих государственную тайну

2

Лицензии Федеральной службы безопасности Российской Федерации на осуществление:

  • работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну;

  • мероприятий и (или) оказание услуг в области защиты государственной тайны.

3

Лицензии Федеральной службы безопасности Российской Федерации на осуществление:

  • разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем;

  • технического обслуживания шифровальных (криптографических) средств;

  • распространения шифровальных (криптографических) средств.

4

Лицензия Федеральной службы безопасности Российской Федерации на осуществление разработки и (или) производства средств защиты конфиденциальной информации.

5

  • Лицензия Федеральной службы по техническому и экспортному контролю на осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации):

  • контроль защищенности информации, составляющей государственную тайну, аттестация средств и систем на соответствие требованиям по защите информации;

  • проведение специсследований на ПЭМИН технических средств обработки информации;

  • проектирование объектов в защищенном исполнении.

6

Лицензия Федеральной службы по техническому и экспортному контролю на проведение работ, связанных с созданием средств защиты информации:

  • разработка, производство, реализация, установка, монтаж, наладка, испытания, ремонт, сервисное обслуживание

7

Лицензия Федеральной службы по техническому и экспортному контролю на деятельность по технической защите конфиденциальной информации:

  • осуществление мероприятий и оказание услуг по технической защите конфиденциальной информации.

8

Лицензия Федеральной службы по техническому и экспортному контролю на деятельность по разработке и (или) производству средств  защиты конфиденциальной информации:

  • осуществление разработки и производства средств защиты конфиденциальной информации.


Таблица 3

В заключение хочу сказать, что хотя данная статья и не претендует на решение каких-то конкретных проблем, она, надеюсь, даст вам понимание того, что и как можно успеть сделать до наступления «дедлайна». Несмотря на общую неразбериху и непонимание того, что дОлжно сделать в первую очередь, предлагаю не торопиться пугать Генерального директора космическими цифрами коммерческих предложений консультантов. Во всяком случае, это не ускорит принятия положительного решения в части выполнения требований законодательства.
Как член Консультативного Совета при РОСКОМНАДЗОРЕ, я могу с уверенностью сказать, что у регуляторов нет цели устраивать массовые репрессии. Конечно, исполнение закона обязательно, но текущая ситуация показывает, что регуляторы при проведении проверок всеми силами стремятся помочь организациям, а не наказать их. И, на мой взгляд, это — главное.




От редакции:

При подготовке к печати этой статьи редакция по своей инициативе обратилась с вопросами о стоимости работ по аудиту ИС и проектированию комплексной системы защиты ПДн к нескольким ведущим разработчикам таких систем. Действительно, ведь компании хотят понимать, что их ждет в ближайшем будущем. К сожалению, наши вопросы остались без ответа: разработчики даже «вилку» постеснялись указать. Не будем сейчас говорить о причинах столь дружного молчания. Справедливости ради отметим, что одна компания все же предоставила нам свой «прайс». Но мы за объективную картину рынка ИТ-услуг, и поэтому решили его не публиковать — в надежде, что и другие игроки  этого рынка надумают на страницах нашего журнала поделиться со своими будущими заказчиками «секретной» информацией. А пока получается как в старом анекдоте: "Цена 50 рублей. За оправу. И еще 50 за линзы. За каждую."




Юрий Шойдин, директор по ИТ ГК «Интарсия»

Опубликовано 07.12.2009