Вопросы, связанные с обеспечения защиты персональных данных в организациях, встают все более остро. С одной стороны, это связано с большим разнообразием ИТ-систем и приложений, которые использует бизнес, появлением более продвинутых хакерских инструментов, с другой — с усилением государственного регулирования, ростом проверок и многократным увеличением штрафов за нарушения. Так, с 1 июля 2017 года вступили в силу поправки к статье 13.11. Кодекса РФ об административных правонарушениях «Нарушение законодательства Российской Федерации в области персональных данных». В новой редакции расширен перечень составов соответствующих правонарушений, а также значительно увеличены размеры штрафов — в среднем в три-семь раз.
Основными болевыми точками среднего и крупного бизнеса в части соблюдения требований российского законодательства в сфере защиты персональных данных (ПДн) являются четыре вопроса:
- Безопасность обработки ПДн с помощью облачных технологий.
- Трансграничная передача персональных данных.
- Обработки и хранения ПДн на сайтах и в мобильных приложениях компаний.
- Прохождение проверок государственных регуляторов.
Облачные технологии: сложности или возможности?
Облачные технологии достаточно плотно вошли в жизнь российских компаний. Все чаще в облака переносят приложения, хранящие и/или обрабатывающие персональные данные. Речь идет как об использовании ресурсов коммерческих ЦОД, так и о собственной облачной инфраструктуре. В то же время недоверие к облаку, сомнения в том, что оно позволяет защитить информацию на уровне классических ИТ-систем, выполнив в том числе требования государственных и отраслевых регуляторов, – ключевое препятствие на пути развития этих технологий.
На самом деле сегодня в облаке, частном или публичном, можно хранить любые данные, за исключением государственной тайны. Никаких препятствий для обеспечения надлежащей защиты персональных данных в облаке нет. Более того, в ряде случаев мы даже рекомендуем в качестве более экономически выгодного решения перенос части информационных систем в облако внешних провайдеров, сертифицированное и аттестованное под требования закона 152-ФЗ.
Что касается создания «собственного облака», то есть много нюансов и особенностей, которые нужно учесть для обеспечения его безопасности. В зависимости от категорий информации и ее критичности будут отличаться требования и подходы к защите. Главное не увлекаться только техническими мерами защиты, а уделить особое значение организационно-распорядительным мерам и документам. Так, основные риски, с которыми мы чаще всего сталкиваемся, в том числе в крупных организациях, – это неправомерный доступ пользователей к данным как следствие непродуманности всех аспектов взаимодействия пользователей и администраторов с облаком. В организации защиты облака, как, впрочем, и в любом ИБ-проекте, важен комплексный подход с детальным изучением всех моментов.
Хранение и обработка персональных данных за рубежом
С выходом закона о локализации персональных данных россиян на территории России (№ 242-ФЗ) многие организации, особенно представительства международных компаний, столкнулись с проблемой его соблюдения. Им пришлось пойти на значительные затраты, чтобы перенести ИТ-систему в нашу страну из-за рубежа или согласиться с убытками, связанными с блокировкой веб-ресурсов в России.
В то же время для соблюдения данного закона далеко не всегда требуется полный перенос систем с персональными данными в Россию или иные кардинальные меры. В большинстве случаев будет вполне достаточно обеспечить, чтобы первичный сбор информации, содержащей ПДн россиян, происходил на территории РФ, а уже дальнейшая обработка и хранение данных, полностью или частично, может осуществляться за рубежом: главное, чтобы при этом полностью соблюдались требования законодательства к трансграничной передаче персональных данных.
Наш опыт показывает, что привлечение профессиональной компании для консультаций и реализации проекта, связанного с трансграничной передачей ПДн, включая подготовку полного пакета организационно-распорядительной документации и последующее сопровождение прохождения проверок регуляторов, поможет сэкономить бизнесу и деньги, и нервы, а также избежать ошибок и лишних итераций.
Веб-сайты и мобильные приложения под контролем Роскомнадзора
Сегодня Роскомнадзор уделяет пристальное внимание интернет-сайтам компаний, с которыми взаимодействуют пользователи. Это может быть интернет-магазин, сервис заказа услуг, краудсорсинговый ресурс, социальная сеть или информационный портал, обычный корпоративный сайт и даже сайт-визитка, на котором есть форма обратной связи или личный кабинет, используются счетчики веб-аналитики, отслеживающие поведение посетителей сайта. Любое мобильное приложение компании, как и сайт, также должно соответствовать требованиям российского законодательства.
Документы по обработке и хранению персональных данных на веб-ресурсах компаний должны содержать множество сведений, в том числе:
- Какие ПДн обрабатываются и хранятся на корпоративных ресурсах.
- Описание функций регистрации и личного кабинета пользователя, сервисов интернет-рассылок, сервисов онлайн-заказов и оплаты.
- Описание функций установленных счетчиков аналитики, например, Google Analytics или «Яндекс.Метрика», применение куки-файлов.
- Обоснование прав доступа в мобильных приложениях.
- Кто является владельцем, администратором, разработчиком каждого сайта или приложения.
- Где расположены базы данных ресурса.
На каждом сайте должна быть размещена и доступна для пользователей политика конфиденциальности, описывающая все процессы обработки и хранения ПДн на данном ресурсе. Сегодня отсутствие такой политики обойдется компании-владельцу сайта в 30 тыс. рублей.
Несмотря на достаточное предложение в интернете образцов всех документов, требуемых регуляторами, готовых шаблонов, полностью описывающих конкретный сайт или приложение, не существует. Каждый веб-ресурс по-своему уникален и требует индивидуальной проработки описания в документации. Организации, ведущие бизнес по продаже товаров или услуг в интернете, а также владеющие несколькими веб-ресурсами, как правило, обращаются за помощью в специализированную ИТ-компанию. Обеспечение защиты веб-ресурсов и разработка пакета документации, как правило, проводятся в рамках комплексных проектов по обеспечению защиты персональных данных в организации.
Для малой компании с одним сайтом можно попробовать реализовать все самостоятельно, досконально изучив политики других подобных сайтов, все процессы и функционал собственного сайта, либо воспользовавшись предлагаемыми в интернете шаблонами. Да и вероятность проверки малой компании крайне мала.
С повышенными требованиями к веб-ресурсам мы сталкиваемся в последний год, равно как и с тем, что представители компаний-заказчиков, да и многие специалисты из ИБ-компаний испытывают сложности в данном, достаточно новом, вопросе.
Прохождение проверок госрегуляторов
Защиту персональных данных нельзя обеспечить раз и навсегда. Это непрерывный процесс, который необходимо поддерживать с учетом изменений в законодательстве, а также изменений внутри организации.
Проверки со стороны государственных регуляторов бывают плановые, в соответствии с планом проверок на год, который публикуется на официальных сайтах, так и внеплановыми – по жалобам граждан (клиентов, подписчиков, сотрудников). Также, начиная с 2016 года Роскомнадзор начал активно проводить мероприятия систематического наблюдения, в рамках которых интернет-сайты выборочно проверяются по таким параметрам, как наличие политики в отношении обработки персональных данных, или размещение личных данных сотрудников/клиентов (ФИО, фотографий и другой информации).
О плановой проверке Роскомнадзора организация узнает заблаговременно, получив официальное уведомление не менее, чем за три дня. Понятное дело, что подготовить всю документацию с нуля за это время невозможно. И не получится спешно привести все в порядок, если ранее было выдано соответствующее предписание. Проект по обеспечению защиты персональных данных нужно реализовать в спокойном режиме, а все изменения – вносить сразу в организационно-распорядительную документацию. В ходе проверки придется не только предоставить пакет документации, но и ответить на множество вопросов и запросов инспекторов, как уточняющего характера, так и связанных с возможными несоответствиями и нарушениями. То есть важно понимать все описанные в документации процессы.
Безболезненно и успешно пройти все этапы контроля помогут специалисты в области защиты ПДн, участвовавшие в реализации проекта, досконально знающие как требования регуляторов, так и составленную документацию по процессам в организации. Они помогут разъяснить многие вопросы и закрыть их сразу, либо оперативно внести требуемые изменения и пройти проверку без штрафов и прочих карательных мер. Это могут быть как штатные эксперты, так и внешние.
* * *
Масштаб проекта в области защиты ПДн определяет не размер компании, а объем и категории обрабатываемых персональных данных, сложность и уникальность бизнес-процессов и ИТ-систем, в которых происходит обработка ПДн. Чем сложнее задачи – тем целесообразнее привлечение профильных ИТ-компаний как на реализацию проекта, так и на дальнейшую поддержку по модели аутсорсинга.
Персональные данные можно безопасно хранить и обрабатывать, используя облачные технологии и трансграничную передачу данных. Вопросы безопасности следует проработать на старте проекта по созданию/переносу ИТ-систем и учесть при оценке и выборе технологий и вариантов IT-инфраструктуры.
Важно понимать, что безопасное хранение и обработку персональных данных нужно обеспечивать не только с целью избежания штрафов и прочих наказаний, но и для того, чтобы обезопасить сотрудников и клиентов, чьи данные хранятся в организации, от действий злоумышленников, а также для того, чтобы поддерживать хорошую репутацию компании на рынке.