«Построение системы защиты информации в организации – непростая задача. Как всякая непростая задача она имеет простые для понимания, но неправильные, ошибочные решения. Причиной реализации таких решений являются заблуждения, свойственные операторам, которые ранее не сталкивались с необходимостью защиты своих инфоресурсов.
В своей практике мы много раз сталкивались с намерением операторов реализовать такие «простые решения». Мы считаем их вредными для оператора и влекущими негативные последствия как для него самого, так и для субъекта персональных данных. Для того, чтобы предостеречь Вас, попробуем описать самые популярные из «простых решений».
Приведение в соответствие и аттестация только одной ИСПДн 3 класса в организации, имеющей множество иных ИСПД более высоких классов. В последующем оператор декларирует выполнение требований закона по защите персональных данных.
При проверке органами надзора (к таковым относятся также и органы прокуратуры) будет выявлен факт эксплуатации оператором всех ИСПДн. При этом их класс (даже если они не классифицированы оператором) будет очевиден, равно как и отсутствие мер по защите этих ИСПДн. Налицо будет и отсутствие исполнения оператором своих обязанностей по защите ПДн (ст.19 ФЗ152).
Именование фактически происходящей автоматизированной или смешанной обработки ПДн «неавтоматизированной обработкой» с последующим документированным выводом о возможности защиты ПДн способами, самостоятельно определяемыми оператором. Далее оператор отказывается от создания системы защиты персональных данных, ограничиваясь созданием свода внутренних локальных актов и организационными мерами по «хранению» ПДн.
При проверке регуляторами (которая может быть как плановой, так и внеплановой – по жалобе субъекта ПДн) будут проверяться и способы обработки. Оператор обязан заявить их и в уведомлении, и в локальных нормативных актах внутреннего обращения (положения, регламенты, инструкции). Несоответствие фактического положения дел сведениям, указанным оператором в уведомлении и в своих внутренних документах, будет очевидным. Это можно расценить как нарушение принципов обработки (ст. 5 ФЗ 152 ), а также как нарушение оператором обязанности уведомить надлежащим образом орган об обработке (правонарушение, предусмотренное ст.19.7 КоАП). В то же время способ сокращения издержек (при построении системы защиты) за счет обоснованного выведения части инфоресурсов из сферы действия ПП781 существует. Правда, ситуаций (сценариев) при которых этот способ применим – крайне мало. Правильное решение можно принять при проведении предпроектного обследования ИСПДн силами специализированной организации.
Заведомо неправильная классификация ИСПДн с присвоением более низкого класса, нежели класса, фактически соответствующего действительности. В силу этого оператор получает возможность существенно сэкономить на защите ИСПДн.
Присвоение более низкого (чем это есть в действительности) класса ИСПДн фактически выражается в подготовке, подписании и утверждении актов классификации, содержащих заведомо недостоверную информацию. Оператору нужно подумать о негативных последствиях (дисциплинарная ответственность конкретных должностных лиц, административная ответственность должностных лиц и юридического лица), которые наступят при выявлении этого нарушения. Само же нарушение можно расценить как недобросовестность при обработке ПДн (ч.1.п.1 ст.5 ФЗ 152) т.е. как нарушение принципов обработки.
Обезличивание ПДн путем удаления из ИСПДн только сведений о фамилии, имени, отчестве. Далее – оператор классифицирует ИСПДн по 4 классу и существенно экономит на построении СЗПДн.
Заблуждение заключается в том, что удаление из ИСПДн ФИО далеко не всегда является обезличиванием ПДн, а получившаяся совокупность данных по-прежнему остается ПДн. Такой очевидный вывод можно сделать из определений «Обезличивание персональных данных» и «персональные данные», указанных в ст.3 ФЗ 152. Обезличивание лишь тогда достигнет цели (а ПДн станут обезличенными), когда из совокупности оставшихся данных невозможно будет определить на основании этих данных физическое лицо. Т.е. из совокупности данных необходимо удалить однозначно иденцифицирующие личность сведения о месте регистрации, паспортные данные, уникальные номера ИНН, СНИЛС и т.п. Это, однако, в некоторых случаях, делает бесполезной получившуюся ИСПДн 4 класса, либо приводит к необходимости создания другой ИСПДн, содержащей персональные данные.
Отказ от выполнения любых мероприятий по защите ПДн ввиду неопределенности или недостаточности нормативных документов.
Обязанность оператора защищать ПДн установлена ст. 19 ФЗ 152. Отсутствие (или неполнота) нормативных документов, регулирующих порядок и способы защиты, не является основанием для невыполнения закона. С уверенностью можно утверждать, что оператор, избравший такую стратегию, будет привлечен к установленной законом ответственности. К тому же в настоящее время полнота нормативных документов, регулирующих порядок защиты ПДн, вполне достаточна для построения системы защиты ПДн.
Обращение к лицензиату с задачей «оформить» и «выдать» аттестаты соответствия на ИСПДн.
Порядок проведения аттестации ИСПДн на соответствие требованиям по безопасности информации определен нормативно-методическими документами ФСТЭК России. Несоответствие мер защиты требованиям этих документов делает положительную аттестацию автоматизированной системы невозможной. Мы не продаем аттестаты.