Трудное испытание для отрасли ИБ или выпустить джина из бутылки

Трудное испытание для отрасли ИБ или выпустить джина из бутылки
На Едином портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения выложен проект Постановления Правительства «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации» (далее – Положение). Мнения по нему уже высказали два Алексея – Лукацкий и Волков . Но документ, на мой взгляд, очень сложный и с несколькими скрытыми пластами, поэтому посчитал нужным обратить внимание на некоторые нюансы, в комментариях коллег не отраженные. Данный пост будет касаться исключительно одного вопроса – привлечения к проверкам Роскомнадзора экспертов и экспертных организаций. Его затрагивал в своем посте Алексей Волков, но я хотел бы посмотреть на эту проблему с другой стороны.
У нее есть несколько составляющих, каждая из которых требует тщательного анализа и осмысления.
Итак, в соответствии с п.9.7 Положения, для оценки и анализа мер, принятых государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», могут привлекаться эксперты и (или) экспертные организации, аккредитованные в порядке, установленном Федеральным законом от 28.12.2013 № 412-ФЗ «Об аккредитации в национальной системе аккредитации» (далее – закон об аккредитации). Норма не новая, она существовала и раньше, и в отношении контроля и надзора вводилась частью 2 статьи 7 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Отметим лишь пока только то, что с 1 сентября надзор в сфере персональных данных из-под регулирования данным законом выводится, значит, и нормативные правовые акты, принятые в соответствии с ним, на этот вид надзорной деятельности не распространяются, если это не оговорено особо в их тексте.
В 2012 году Роскомнадзор активно проводил работу по аккредитации экспертов и экспертных организаций, и в реестры, размещенные на сайте ведомства , включены 30 экспертных организаций и 25 экспертов. Среди организаций преобладают интеграторы из Москвы, Питера и регионов, активно продвигающие свои услуги на рынке обеспечения соответствия обработки и защиты персональных данных, известные и не очень. Среди экспертов тоже знакомые лица, которые работают на этой ниве, остальные, смею предположить, тоже из компаний, имеющих отношения к данному направлению деятельности.
Что же предполагается возможным поручить привлекаемым экспертам и экспертным организациям? Проект Положения на этот вопрос ответа не дает, но он есть в упомянутых выше реестрах привлекаемых к проверкам лиц:
·         обследование и определение уровня защищенности негосударственных информационных систем персональных данных, используемых оператором при осуществлении своей непосредственной деятельности;
·         оценка соответствия применяемых технических средств защиты информации;
·         оценка достаточности и эффективности принимаемых оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных;
·         проведение исследований, а также проведение экспертиз и расследований, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных.
Полномочия, как мы видим, связаны в основном непосредственно с анализом технической защищенности ИСПДн, в то время, как в преамбуле проекта Положения прямо указано, что оноустанавливает порядок осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, за исключением деятельности по осуществлению контроля и надзора за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн, установленных в соответствии со статьей 19 закона «О персональных данных». Но А. Волков уже обращал внимание в своей публикации, что пунктом 24 проекта Положения предусматривается, что должностными лицами, указанными в приказе о проверке, в пределах своей компетенции проводится проверка документов, локальных актов, а также принятия государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом мер, указанных в части 1 статьи 18.1 Федерального закона «О персональных данных». А там, как мы помним, есть п.3 – «применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона».
Оставим пока в стороне это несоответствие. Займемся непосредственно проблемой привлечения экспертов и экспертных организаций. Для начала отметим, что должностные лица надзорного органа, проводящего проверку, и эксперты в приказе о ее проведения указываются поименно, а вот представителей экспертных организаций перечислять не предусматривается, что создает возможность привлечения к проверке неограниченного количества работников экспертной организации.
На мой взгляд, участие в проверках компаний, оказывающих услуги на этом же рынке, и экспертов из них создает, как минимум, три группы проблем.
Первая. Проблемы морально-этические. Интегратор А (для простоты будем именовать всех, оказывающих услуги на этом рынке, интеграторами, хотя там есть и другие игроки) привлекается к проверке в организации, где проект по выполнению требований законодательства о персональных данных был сделан интегратором Б. Сами понимаете, соблазн «мокнуть в воду» весьма велик, конкурент, как-никак. Как уже много раз писали и говорили наши эксперты-блогеры в сфере персональных данных, и я в том числе, закон и подзаконные акты написаны так, что их исполнение целиком и полностью зависит от трактовки, поэтому поле для «творчества» необъятное. Попутно порешать проблемы конкурентной борьбы, да еще и склонить проверяемую организацию на последующее оказание услуг интегратором Б, нарисовав ужасные картины перечня выявленных нарушений и недостатков в двух вариантах – «вы нас не приглашаете» и «вы нас приглашаете» для их исправления.
Соблазны неприятны и трудно преодолимы, особенно при отсутствии изначально соответствующей установки руководства экспертной организации или эксперта о допустимости продвижения своих услуг и соответствующих тормозов у конкретных участников процесса. Именно поэтому я вынес в заголовок поста слова про испытание для отрасли и выпущенного из бутылки джина. Загнать его обратно, в соответствии с восточными сказками, будет очень трудно. Сказка, конечно, ложь, но намек очевиден. Разговоры типа «Мы завтра начинаем работать в «Рогах и копытах» с Роскомнадзором, говорят, вы там нормативку писали и частную модель угроз рисовали, систему защиты проектировали. Что делать будем?» между топами и не очень топами интеграторов на нашем маленьком и тесном базарчике могут существенно подорвать мир и спокойствие.
Проблема вторая. Операторская. Выполнение возложенных на внешних экспертов задач предполагает глубокое погружение в ИСПДн проверяемой организации, а значит – и доступ к персональным данным. Если это должностные лица Роскомнадзора, обосновать такой доступ как-то можно, тем более, что в проекте Положения для них есть п.9.5: «получать доступ к информационным системам персональных данных для оценки законности деятельности по обработке персональных данных, в том числе, на предмет соответствия содержания, объема, способов обработки, сроков хранения обрабатываемых персональных данных целям их обработки». Хотя надо заметить, что постановление правительства – не закон, а доступ к персональным данным без согласия субъекта на основании не закона, а нормативного правового акта закон о персональных данных не допускает.
Это общая и серьезная проблема, недавно один из наших клиентов разруливал ситуацию с субъектом, чьи данные были переданы в орган исполнительной власти в ответе на его запрос, а субъект с этим категорически не согласился. Но при любых вариантах давать доступ без согласия субъекта к его персональным данным представителям коммерческой организации оператор никак не может. И что ему делать? «Препятствовать проверке», т.е. совершать административное правонарушение? Ответа нет, а риск есть. Кроме персональных данных, в ИСПДн может быть и другая информация о субъекте, доступ к которой ограничен законом, и эксперты его получать не должны. Например, врачебная тайна (при проверке учреждений здравоохранения), тайна связи (при проверке операторов связи) и т.п. Сцилла и Харибда слишком близко, лодочка позиций оператора очень хлипкая, и все риски только его. И прецедентов, когда суды признают доступ третьих лиц к персональным данным и сведениям о частной жизни неправомерным их разглашением, достаточно. Я тоже об этом писал. Здесь, например .
Проблема третья. Тоже операторская, но другая. Во многих случаях сведения о клиентах-физических лицах относятся использующей их организацией к коммерческой тайне. И российские суды охотно соглашаются с правомерностью такого отнесения , привлекая к уголовной ответственности за попытки продать или помимо воли обладателя каким-либо способом использовать такие сведения работниками владельца секретов или соглашаясь с законностью увольнения работников за разглашение баз данных клиентов. О последнем случае стало известно несколько дней назад – работник страховой компании в очередной раз реализовал на рынке базу застрахованных лиц . Закон о коммерческой тайне четко определяет обязанность безвозмездно предоставить информацию, составляющую коммерческую тайну, органу государственной власти или заключить гражданско-правовой договор о ее передаче с контрагентом. А вот про экспертные организации он ничего не знает и поэтому не определяет. И опять выбор между препятствованием проверке и защитой своих законных интересов и прав как обладателя коммерческой тайны.
Это проблемы, которые мне показались самыми важными при анализе вопроса привлечения экспертов. На самом деле их гораздо больше. Например, на сайте Роскомнадзора в качестве основания для создания реестров экспертов и экспертных организаций указано Постановление Правительства от 20.08.2009 № 689 «Об утверждении правил аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю». А оно уже год как утратило силу, и порядок совсем теперь другой, и форма заявления тоже.
Времени на еще один пост по проекту Постановления у меня уже не будет, работы много. Поэтому очень коротко о том, что мне показалось в нем новым и крайне важным. Выводы делайте сами:
·         Самое важное, по моему мнению. У Роскомнадзора может появиться право выдавать обязательные для исполнения требования о приостановлении или прекращении обработки персональных данных, осуществляемой с нарушениями требований закона о персональных данных. В случае неисполнения требования о приостановлении деятельности по обработке персональных данных по месту нахождения нарушителя в суд подается исковое заявление с требованием признания осуществляемой деятельности по обработке персональных данных незаконной и мер по их удалению. Информация о неисполнении требования направляется в Генеральную прокуратуру или прокуратуру субъекта Российской Федерации для рассмотрения вопроса о принятии мер прокурорского реагирования. Это может стать главным последствием принятия документа.
·         Право Роскомнадзора обращаться в правоохранительные органы, органы прокуратуры за содействием в установлении лиц, виновных в нарушении требований законодательства Российской Федерации, допущенных при обработке персональных данных.
·         Периодичность плановых проверок в отношении юридических лиц – не чаще одного раз в два года, а не три, как в 294-ФЗ.
·         Узаконенные внеплановые проверки по обращениям граждан, информации от органов государственной власти, органов местного самоуправления и средств массовой информации о подтвержденных фактах нарушений,по итогам мероприятий систематического наблюдения, на основании подтвержденного факта несоответствия сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности, в случае неисполнения требования Роскомнадзора или территориального органа об устранении выявленного нарушения требований.
·         Срок проведения документарной проверки - до 60 рабочих дней (в 294-ФЗ – 20) с возможностью продления еще на 20.
·         Проведение плановых и внеплановых проверок не требует согласования с органами прокуратуры, за исключение внеплановых проверок по обращениям граждан.
·         Никакие материалы, подготовленные привлекаемыми к проверке экспертами и экспертными организациями, к акту не прилагаются, эксперты и представители экспертных организаций акт проверки не подписывают.
·         Блокирование, уничтожение недостоверных персональных данных или полученных незаконным путем персональных данных осуществляется оператором в порядке, установленном Роскомнадзором.
·         Нарушение требований, выявленных в результате проведения мероприятий систематического наблюдения, а также анализа и оценки состояния исполнения требований законодательства подлежит устранению в срок не более 10 календарных дней (вспомним российские «длинные» праздники).
Рецептов не будет. Будет предложение – активно поучаствовать в обсуждении и подготовить ответы на 12 вопросов, поставленных на Едином портале, где опубликован проект, как уже сделал А.Волков. Вместо следующего поста на эту тему я, в свою очередь, опубликую свои ответы.

И последнее. Проект мы проанализируем 25-26 мая на курсе КП32 в Учебном центре «Информзащита» и 28 мая на семинаре «Изменения в законодательстве о персональных данных и коммерческой тайне, их влияние на бизнес» в Бизнес Школе Консультант . Курс и семинар получатся эксклюзивными, до сентября больше ничего подобного не будет. А в сентябре оценим уже не проект, а Постановление. Сомнений, что оно будет принято, у меня нет.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!

Михаил Емельянников

Блог известного российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.