18 ноября 2009 года, в рамках форума Sfitex, состоялась конференция «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных».
Ключевым событием конференции стал круглый стол «Обмен опытом по проблемам обеспечения защиты персональных данных», в ходе которого представители ФСТЭК, ФСБ и Роскомнадзора ответили на вопросы участников конференции о практической и юридической сторонах защиты ПД.
В ходе дискуссии на круглом столе обозначились два самых противоречивых аспекта защиты персональных данных - объем защищаемой информации и методы ограничения несанкционированного доступа.
Федеральный закон №152 «О персональных данных» дает достаточно расплывчатое определение понятию «персональные данные»: пункт «и другие данные» в списке видов информации, подлежащей, согласно этому закону, защите, дает излишний простор для трактовок. В частности, не существует очевидного и однозначного ответа на вопрос - относится ли к персональным данным ИНН: с одной стороны, он однозначно соотносим с его владельцем, с другой же - доступом к информации о человеке, которому ИНН присвоен, обладает только Налоговая Инспекция.
По мнению Виктора Шведа, заместителя руководителя управления ФСТЭК по СЗФО, сам по себе ИНН не относится к персональным данным: располагая только им, злоумышленник не может идентифицировать владельца номера.
Обсуждение методов защиты персональных данных от несанкционированного доступа затронуло и такой принципиальный аспект, как требуемое разделение ОС и собственно модуля защиты. В частности, при удаленной работе с персональными данными, встроенные средства защиты и шифрования трафика даже сертифицированных операционных систем недостаточны: «Гарантией безопасности должно служить стороннее, но сертифицированное ПО», - отметил Денис Тагиев, представлявший на конференции управление ФСБ по Санкт-Петербургу и Ленинградской области.
Спикер от ФСБ ответил и на вопросы о необходимости лицензирования криптографического оборудования. Как подчеркнул г-н Тагиев, лицензирование потребуется только тем компаниям, которые разрабатывают, продают или сдают в аренду средства шифрования.
Не осталась без внимания и такая специфическая тема, как трансграничная передача персональных данных. По словам Виктора Шведа, для такой передачи необходимо, чтобы требуемому классу защиты соответствовали оба участника обмена данными.
Г-н Швед коснулся и другого актуального вопроса, связанного с защитой персональных данных - понижения класса защиты. Основным методом, подчеркнул Виктор Швед, остаются обезличивание и разнесение информации по нескольким базам, сопоставляемых по индивидуальному коду записи.
Участники круглого стола поделились планами своих организаций: и ФСТЭК, и Роскомнадзор намерены до конца года проинспектировать порядка 50-60 учреждений на предмет защиты персональных данных. В их числе - органы городской администрации, налоговая инспекция и страховые компании.
Виктор Швед обратил внимание собравшихся на тот факт, что любая организация всегда может обратиться в Роскомнадзор и ФСТЭК за разъяснением требований к защите персональных данных, и в ФСБ - за уточнением юридических аспектов криптографии. Денис Тагиев подтвердил слова коллеги, но отметил: управление ФСБ по Санкт-Петербургу и Ленинградской области выполняет, прежде всего, надзорную функцию, и вопросы сертификации средств шифрования решаются в Центральном управлении службы. Впрочем, добавил г-н Тагиев, связаться с центральным аппаратом ФСБ тоже можно через местное управление организации.
Как показала конференция, тема защиты персональных данных в ближайшее время останется одной из ключевых: несмотря на достаточно разработанную законодательную базу, практическим опытом в этой области располагают немногие. Впрочем, по сравнению с ажиотажем вокруг вопросов перерегистрации сетей и сооружений связи, проблем в этой области намного меньше: надзорные органы проявили готовность активно участвовать - в том числе, и в качестве консультантов, - в развитии систем защиты информации.
Никита Егоров