25 мая 2015 г.

И снова об облачных сервисах за рубежом после 1 сентября

9 июня в Москве компания CT Consulting, наш партнер и платиновый партнер Salesforce в России, проводит конференцию с актуальным названием «Защита персональных данных в «облаке» после вступления в силу закона № 242-ФЗ». На мое выступление по теме «Особенности использования облачных сервисов и хостинга зарубежных провайдеров для обработки персональных данных после 1 сентября 2015 года и меры по обеспечению соответствия российскому законодательству» щедро отпущен целый час, поэтому будет время ответить на все возникающие вопросы. Их, думаю, как обычно при обсуждении этой темы, будет немало. Выделю три основных вопроса, которые считаю принципиальными в преддверии 1 сентября 2015 года:

·        можно ли размещать персональные данные в приложениях, находящихся территориально заведомо вне пределов Российской Федерации, таких, например, как Salesforce;

·        как можно и как нельзя будет работать с такими приложениями после вступления в силу изменений в законодательстве;

·        что нужно и можно сделать, чтобы соответствовать закону, используя зарубежные программные приложения.

Ответы на последний вопрос даст в своем выступлении технический директор компании CT Consulting Николай Щенин, который расскажет о решении DFG152 позволяющем реализовать новые требования закона «О персональных данных» для компаний, использующих облачные системы, причем не только в облаке Salesforce, но и в других облачных инфраструктурах.  

Завершит конференцию Николя O'Гормэн, вице-президент по Центральной и Восточной Европе в Salesforce.com, выступлением «Практические вопросы обеспечения соответствия требованиям законодательства о персональных данных на примере облачной CRM-системы Salesforce».

Условия весьма комфортные – после каждого выступления запланирован кофе-брейк с возможностью неформального и персонального общения. Участие бесплатное при условии обязательной, пока открытой, предварительной регистрации.

Приходите. Обсудим. Задумаемся. Поспорим. 

18 мая 2015 г.

Трудное испытание для отрасли ИБ или выпустить джина из бутылки

На Едином портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения выложен проект Постановления Правительства «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации» (далее – Положение). Мнения по нему уже высказали два Алексея – Лукацкий и Волков. Но документ, на мой взгляд, очень сложный и с несколькими скрытыми пластами, поэтому посчитал нужным обратить внимание на некоторые нюансы, в комментариях коллег не отраженные. Данный пост будет касаться исключительно одного вопроса – привлечения к проверкам Роскомнадзора экспертов и экспертных организаций. Его затрагивал в своем посте Алексей Волков, но я хотел бы посмотреть на эту проблему с другой стороны.
У нее есть несколько составляющих, каждая из которых требует тщательного анализа и осмысления.
Итак, в соответствии с п.9.7 Положения, для оценки и анализа мер, принятых государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», могут привлекаться эксперты и (или) экспертные организации, аккредитованные в порядке, установленном Федеральным законом от 28.12.2013 № 412-ФЗ «Об аккредитации в национальной системе аккредитации» (далее – закон об аккредитации). Норма не новая, она существовала и раньше, и в отношении контроля и надзора вводилась частью 2 статьи 7 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Отметим лишь пока только то, что с 1 сентября надзор в сфере персональных данных из-под регулирования данным законом выводится, значит, и нормативные правовые акты, принятые в соответствии с ним, на этот вид надзорной деятельности не распространяются, если это не оговорено особо в их тексте.
В 2012 году Роскомнадзор активно проводил работу по аккредитации экспертов и экспертных организаций, и в реестры, размещенные на сайте ведомства, включены 30 экспертных организаций и 25 экспертов. Среди организаций преобладают интеграторы из Москвы, Питера и регионов, активно продвигающие свои услуги на рынке обеспечения соответствия обработки и защиты персональных данных, известные и не очень. Среди экспертов тоже знакомые лица, которые работают на этой ниве, остальные, смею предположить, тоже из компаний, имеющих отношения к данному направлению деятельности.
Что же предполагается возможным поручить привлекаемым экспертам и экспертным организациям? Проект Положения на этот вопрос ответа не дает, но он есть в упомянутых выше реестрах привлекаемых к проверкам лиц:
·         обследование и определение уровня защищенности негосударственных информационных систем персональных данных, используемых оператором при осуществлении своей непосредственной деятельности;
·         оценка соответствия применяемых технических средств защиты информации;
·         оценка достаточности и эффективности принимаемых оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных;
·         проведение исследований, а также проведение экспертиз и расследований, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных.
Полномочия, как мы видим, связаны в основном непосредственно с анализом технической защищенности ИСПДн, в то время, как в преамбуле проекта Положения прямо указано, что оно устанавливает порядок осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, за исключением деятельности по осуществлению контроля и надзора за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн, установленных в соответствии со статьей 19 закона «О персональных данных». Но А. Волков уже обращал внимание в своей публикации, что пунктом 24 проекта Положения предусматривается, что должностными лицами, указанными в приказе о проверке, в пределах своей компетенции проводится проверка документов, локальных актов, а также принятия государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом мер, указанных в части 1 статьи 18.1 Федерального закона «О персональных данных». А там, как мы помним, есть п.3 – «применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона».
Оставим пока в стороне это несоответствие. Займемся непосредственно проблемой привлечения экспертов и экспертных организаций. Для начала отметим, что должностные лица надзорного органа, проводящего проверку, и эксперты в приказе о ее проведения указываются поименно, а вот представителей экспертных организаций перечислять не предусматривается, что создает возможность привлечения к проверке неограниченного количества работников экспертной организации.
На мой взгляд, участие в проверках компаний, оказывающих услуги на этом же рынке, и экспертов из них создает, как минимум, три группы проблем.
Первая. Проблемы морально-этические. Интегратор А (для простоты будем именовать всех, оказывающих услуги на этом рынке, интеграторами, хотя там есть и другие игроки) привлекается к проверке в организации, где проект по выполнению требований законодательства о персональных данных был сделан интегратором Б. Сами понимаете, соблазн «мокнуть в воду» весьма велик, конкурент, как-никак. Как уже много раз писали и говорили наши эксперты-блогеры в сфере персональных данных, и я в том числе, закон и подзаконные акты написаны так, что их исполнение целиком и полностью зависит от трактовки, поэтому поле для «творчества» необъятное. Попутно порешать проблемы конкурентной борьбы, да еще и склонить проверяемую организацию на последующее оказание услуг интегратором Б, нарисовав ужасные картины перечня выявленных нарушений и недостатков в двух вариантах – «вы нас не приглашаете» и «вы нас приглашаете» для их исправления.
Соблазны неприятны и трудно преодолимы, особенно при отсутствии изначально соответствующей установки руководства экспертной организации или эксперта о допустимости продвижения своих услуг и соответствующих тормозов у конкретных участников процесса. Именно поэтому я вынес в заголовок поста слова про испытание для отрасли и выпущенного из бутылки джина. Загнать его обратно, в соответствии с восточными сказками, будет очень трудно. Сказка, конечно, ложь, но намек очевиден. Разговоры типа «Мы завтра начинаем работать в «Рогах и копытах» с Роскомнадзором, говорят, вы там нормативку писали и частную модель угроз рисовали, систему защиты проектировали. Что делать будем?» между топами и не очень топами интеграторов на нашем маленьком и тесном базарчике могут существенно подорвать мир и спокойствие.
Проблема вторая. Операторская. Выполнение возложенных на внешних экспертов задач предполагает глубокое погружение в ИСПДн проверяемой организации, а значит – и доступ к персональным данным. Если это должностные лица Роскомнадзора, обосновать такой доступ как-то можно, тем более, что в проекте Положения для них есть п.9.5: «получать доступ к информационным системам персональных данных для оценки законности деятельности по обработке персональных данных, в том числе, на предмет соответствия содержания, объема, способов обработки, сроков хранения обрабатываемых персональных данных целям их обработки». Хотя надо заметить, что постановление правительства – не закон, а доступ к персональным данным без согласия субъекта на основании не закона, а нормативного правового акта закон о персональных данных не допускает.
Это общая и серьезная проблема, недавно один из наших клиентов разруливал ситуацию с субъектом, чьи данные были переданы в орган исполнительной власти в ответе на его запрос, а субъект с этим категорически не согласился. Но при любых вариантах давать доступ без согласия субъекта к его персональным данным представителям коммерческой организации оператор никак не может. И что ему делать? «Препятствовать проверке», т.е. совершать административное правонарушение? Ответа нет, а риск есть. Кроме персональных данных, в ИСПДн может быть и другая информация о субъекте, доступ к которой ограничен законом, и эксперты его получать не должны. Например, врачебная тайна (при проверке учреждений здравоохранения), тайна связи (при проверке операторов связи) и т.п. Сцилла и Харибда слишком близко, лодочка позиций оператора очень хлипкая, и все риски только его. И прецедентов, когда суды признают доступ третьих лиц к персональным данным и сведениям о частной жизни неправомерным их разглашением, достаточно. Я тоже об этом писал. Здесь, например.
Проблема третья. Тоже операторская, но другая. Во многих случаях сведения о клиентах-физических лицах относятся использующей их организацией к коммерческой тайне. И российские суды охотно соглашаются с правомерностью такого отнесения, привлекая к уголовной ответственности за попытки продать или помимо воли обладателя каким-либо способом использовать такие сведения работниками владельца секретов или соглашаясь с законностью увольнения работников за разглашение баз данных клиентов. О последнем случае стало известно несколько дней назад – работник страховой компании в очередной раз реализовал на рынке базу застрахованных лиц. Закон о коммерческой тайне четко определяет обязанность безвозмездно предоставить информацию, составляющую коммерческую тайну, органу государственной власти или заключить гражданско-правовой договор о ее передаче с контрагентом. А вот про экспертные организации он ничего не знает и поэтому не определяет. И опять выбор между препятствованием проверке и защитой своих законных интересов и прав как обладателя коммерческой тайны.
Это проблемы, которые мне показались самыми важными при анализе вопроса привлечения экспертов. На самом деле их гораздо больше. Например, на сайте Роскомнадзора в качестве основания для создания реестров экспертов и экспертных организаций указано Постановление Правительства от 20.08.2009 № 689 «Об утверждении правил аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю». А оно уже год как утратило силу, и порядок совсем теперь другой, и форма заявления тоже.
Времени на еще один пост по проекту Постановления у меня уже не будет, работы много. Поэтому очень коротко о том, что мне показалось в нем новым и крайне важным. Выводы делайте сами:
·         Самое важное, по моему мнению. У Роскомнадзора может появиться право выдавать обязательные для исполнения требования о приостановлении или прекращении обработки персональных данных, осуществляемой с нарушениями требований закона о персональных данных. В случае неисполнения требования о приостановлении деятельности по обработке персональных данных по месту нахождения нарушителя в суд подается исковое заявление с требованием признания осуществляемой деятельности по обработке персональных данных незаконной и мер по их удалению. Информация о неисполнении требования направляется в Генеральную прокуратуру или прокуратуру субъекта Российской Федерации для рассмотрения вопроса о принятии мер прокурорского реагирования. Это может стать главным последствием принятия документа.
·         Право Роскомнадзора обращаться в правоохранительные органы, органы прокуратуры за содействием в установлении лиц, виновных в нарушении требований законодательства Российской Федерации, допущенных при обработке персональных данных.
·         Периодичность плановых проверок в отношении юридических лиц – не чаще одного раз в два года, а не три, как в 294-ФЗ.
·         Узаконенные внеплановые проверки по обращениям граждан, информации от органов государственной власти, органов местного самоуправления и средств массовой информации о подтвержденных фактах нарушений, по итогам мероприятий систематического наблюдения, на основании подтвержденного факта несоответствия сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности, в случае неисполнения требования Роскомнадзора или территориального органа об устранении выявленного нарушения требований.
·         Срок проведения документарной проверки - до 60 рабочих дней (в 294-ФЗ – 20) с возможностью продления еще на 20.
·         Проведение плановых и внеплановых проверок не требует согласования с органами прокуратуры, за исключение внеплановых проверок по обращениям граждан.
·         Никакие материалы, подготовленные привлекаемыми к проверке экспертами и экспертными организациями, к акту не прилагаются, эксперты и представители экспертных организаций акт проверки не подписывают.
·         Блокирование, уничтожение недостоверных персональных данных или полученных незаконным путем персональных данных осуществляется оператором в порядке, установленном Роскомнадзором.
·         Нарушение требований, выявленных в результате проведения мероприятий систематического наблюдения, а также анализа и оценки состояния исполнения требований законодательства подлежит устранению в срок не более 10 календарных дней (вспомним российские «длинные» праздники).
Рецептов не будет. Будет предложение – активно поучаствовать в обсуждении и подготовить ответы на 12 вопросов, поставленных на Едином портале, где опубликован проект, как уже сделал А. Волков. Вместо следующего поста на эту тему я, в свою очередь, опубликую свои ответы.
И последнее. Проект мы проанализируем 25-26 мая на курсе КП32 в Учебном центре «Информзащита» и 28 мая на семинаре «Изменения в законодательстве о персональных данных и коммерческой тайне, их влияние на бизнес» в Бизнес Школе Консультант. Курс и семинар получатся эксклюзивными, до сентября больше ничего подобного не будет. А в сентябре оценим уже не проект, а Постановление. Сомнений, что оно будет принято, у меня нет.