WELLSERVICE научила защищать персональные данные/Блиц-интервью с генеральным директором компании Владимиром Подзоровым

Представители WELLSERVICE, выступающие в роли спикеров, поделили семинар на две части: в первой они прочли теоретический курс, а во второй (прикладной) перешли к конкретным примерам, хотя для более четкого понимания организаторы постоянно объясняли материал на «случаях из жизни». Поделиться своим опытом с гостями семинара, а по возможности и получить новых клиентов решили генеральный директор WELLSERVICE Владимир Подзоров и менеджеры проектов – Александр Фирзин и Виктор Полукшт. Их компания как раз работает над реализацией программ в области защиты персональных данных и иной конфиденциальной информации, оценивает уровень защищенности информационно-технологических систем.

Выступление генерального директора WELLSERVICE Владимира Подзорова

Г-н Подзоров первым делом предложил обозначить, что именно понимать под персональными данными. Определение термина трансформируется непрерывно. Следовательно, нужно уловить смысл: если можно однозначно установить субъекта информации – значит, эта информация попадает под определение персональных данных. Чаще всего контакт-центр собирает все подряд, зачастую излишнюю информацию, но если главное в этом процессе – знать, где произошла проблема, чтобы ее устранить (суть информации – обрабатывать проблему, а личность не важна), в таком случае информация не подпадает под понятие о защите персональных данных.

Для грамотного старта работы в направлении защиты персональных данных необходимо изучить следующие нормативные правовые акты и методические документы.

Обязательный правовой багаж

Следующим шагом в понимании того, с какого рода информацией происходит работа, следует осознавание основания для обработки данных. Обрабатывать персональные данные важно на основании подписи под согласием о сборе данных. Важно правильно оформить письменное согласие на обработку данных. Недостаток такого метода – субъект по одной из статей Федерального закона о защите персональных данных может отозвать согласие. Самое правильное и распространенное основание – обработка на основании договора, стороной которого является субъект. Третье основание – обработка персональных данных в целях исполнения прав и законных интересов оператора. Наиболее понятный и подходящий вариант для представителей учреждений образования, муниципальных организаций – на основании федерального закона (подзаконного акта). Юридические последствия обработки персональных данных субъекта – один из важнейших моментов, на который компания должна ответить при запросе клиента. WELLSERVICE призывает внимательно и последовательно отнестись к процессу приведения процессов и информационных систем в соответствие с законодательством.

Карманное руководство по избеганию проблем с законодательством

Следить за соответствием работы предприятия с законодательством Российской Федерации будет целый ряд правительственных организаций, осуществляя разного рода контроль и проверки, предъявляя требования по защите.

Основные элементы государственной системы персональных данных

Большой интерес в обсуждении среди участников на семинаре вызвал вопрос о необходимости отсылки уведомления о намерении обработки персональных данных в Роскомнадзор. Согласно Федеральному закону о персональных данных, операторы должны отсылать уведомление по определенной форме. Тем не менее существует ряд законных возможностей не делать этого. В 2011-м на семинарах и круглых столах представители надзирающих органов проявили заинтересованность в отправке уведомлений. Многие операторы персональных данных, надеясь на некоторые поблажки при проверках в случае отправки уведомления, пошли навстречу Роскомнадзору и оказались в списках проверок на нынешний год – попали как раз те компании, которые отправили это самое уведомление, хотя были вправе не делать этого. Вообще, проблем с реализацией правовой составляющей возникает крайне много – связаны они и с неоднозначностью положений ФЗ «О персональных данных», с противоречивыми и затратными механизмами его исполнения; с ограниченными ресурсами всей задействованной цепи – операторов, лицензиатов и Роскомнадзора; с финансовыми проблемами из-за отсутствия бюджетного финансирования органов государственной власти.

Категории обрабатываемых в ИС (информационных системах) персональных данных и классы самих ИС

На семинаре были приведены методы снижения класса ИС персональных данных. В частности, выступающие советовали для понижения класса системы обезличить ее. Прежде всего, определяется ключ базы данных, согласно которому она выстраивается в определенной последовательности. В большинстве случаев целесообразнее сделать понижение в классе, но не всегда обязательно – нужно понимать: оправданно ли это? Есть грань между обезличенными данными и информацией, которая персональными данными и не является. Вне зависимости от класса все равно нужно обеспечивать сертифицированными средствами обнаружения атак. Сертификация и оценка соответствия – похожие, но разные средства. Не все продукты должны быть сертифицированы, но порой лучше приобрести недорогой сертифицированный продукт.

Менеджер проектов WELLSERVICE Александр Фирзин

С особым вниманием спикеры остановились на объектах защиты персональных данных, основных направлениях защиты информации, представили меры и средства зашиты от несанкционированного доступа, вирусов и даже техногенных угроз. Рассматривались нюансы и особенности аттестации объекта информатизации по требованиям безопасности информации, лицензионные требования для работы с конфиденциальной информацией. Скрупулезный подбор решений возможных проблем с обработкой персональных данных компанией WELLSERVICE предусмотрел даже необходимый перечень документов как в случае плановой, так и внеплановой проверок.

К вам едет ревизор? Необходимая документация в случае проверок

Директор по развитию ООО «Компьютерные информационные технологии» (SatNet ISP) Артем Бабаджанянц не пожалел, что пришел на семинар: «Семинар был полезен, хотя упор и не был сделан на проблему взглядом со стороны операторов связи. Представители операторов задавали интересующие их вопросы, и именно в ответах можно было почерпнуть большую пользу. Как оказалось, затраты на построение системы защиты персональных данных для нашей компании оцениваются в пределах ста тысяч рублей, что для оператора связи не столь уж и много, а в случае введения поправок в КоАП – это совсем смешные деньги. Конечно, у многих операторов и так приняты все меры по защите персональных данных, требуемые законом, но теперь все это придется делать с использованием сертифицированных средств, а также обращаться к лицензиатам за получением аттестата. Если следовать букве закона, то все эти меры, а значит, и траты необходимо проводить любому юридическому лицу, что совсем не радует. Думаю, что данный семинар был полезен как представителям средних операторов связи, так и крупных».

Ответы на вопросы участников генерального директора WELLSERVICE
Владимира Подзорова во время неформальной сессии

Более подробно об интересах WELLSERVICE в проведении данного семинара корреспонденту spbIT.ru рассказал генеральный директор компании Владимир Подзоров.

 Какие цели преследует компания WELLSERVICE, организуя подобные семинары?

 - Мы создавали компанию с единомышленниками – не набирали сотрудников, не искали исполнителей на конкретные должности – и собирались заниматься интересным нам делом в сфере обеспечения безопасности. Мы хотели получать удовольствие от выполненной правильной работы, чтобы не краснеть перед заказчиком. Одним из элементов этой общей идеи было решение помогать людям – не обязательно на всех зарабатывать.

Поэтому первая цель этого семинара – помочь людям, ответить на их вопросы.

Вторая цель – чисто коммерческая: нам нужно, чтобы люди узнавали нашу компанию, чтобы мы были одним из вариантов в случае рассмотрения коммерческого решения. Все хотят сэкономить – сейчас людьми выбирается самый простой путь: санкция всего 5 тыс. рублей – я не занимаюсь защитой персональных данных. Они не понимают, что санкций скоро будет больше и жестче. Мы предлагаем другой способ экономии – обучение. Пусть выучившийся у нас сотрудник разложит все по полочкам любому проверяющему инспектору.

Третья цель – дать людям путь обучиться.

 Отвечает ли требованиям рынка существующее законодательство в сфере защиты персональных данных?

 - Законодательство очень противоречиво: много нормативных правовых актов, противоречащих друг другу. Есть правила подготовки нормативных правовых актов, а есть акты, которые не соответствуют этим правилам. Операторы, защитники их интересов, инспектора ФСТЭК не знают, чем им руководствоваться: одни – одним, другие – другим, полный разброд и шатание. Нет четкой системы, но в принципе Россия не уникальна в этом. В Европе ситуации не намного лучше – не все у них четко определено.

 Случайно вышло, что этот семинар оказался больше ориентирован на операторов связи?

 - Семинар ориентирован на всех операторов персональных данных – просто так случилось, что к нам пришло много операторов связи, и мы попросили их прийти в один день. Для остальных мы повторим семинар в другой день, 30 марта. Под действие закона о защите персональных данных подпадает практически любое юридическое лицо, даже индивидуальные предприниматели и физические лица, которые могут быть операторами персональных данных.

 Можно ли сферу защиты персональных данных назвать особенно конфликтной?

 - С Роскомнадзором судятся чаще (в основном по вопросам лицензирования операторской деятельности), чем с ФТЭКом. Эти организации еще не чувствуют в себе большой уверенности и не любят судиться по персональным данным, хотя у них уже созданы соответствующие управления и они в направлении изучения этого вопроса. Она, безусловно, конфликтна, особенно если принять во внимание специализированные форумы, где обсуждают острые вопросы, – там много копий ломается.