Интервью с Михаилом Емельянниковым о защите персональных данных
Редакция CISO CLUB пообщалась с Михаилом Емельянниковым, управляющим партнером консалтингового агентства «Емельянников, Попова и партнеры» о способах защиты персональных данных, подготовке к проверке регуляторов, особенностях российского и европейского законодательства, необходимости использования сертифицированных средств защиты информации и многом другом. 1) Что такое персональные данные? Каков минимальный состав персональных данных? Телефон или телефон и ФИО это персональные данные? Закон определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу. Такая формулировка допускает сколь угодно широкое определение того, что является персональными данными. Персональными данными является любая информация, относящаяся к известному оператору лицу или любая информация, позволяющая определить конкретное физическое лицо. И минимального состава данных здесь нет, он зависит от конкретного контекста обработки. Например, номер телефона и ФИО – это всегда персональные данные, но для оператора связи всего лишь номер телефона его абонента – тоже персональные данные, поскольку владелец номера оператору известен. С учетом проникновения в нашу жизнь Интернета все больше регуляторов и специалистов рассматривают профили анонимных посетителей сайтов, позволяющие этих посетителей различать, отличать друг от друга, прогнозировать их поведение, таргетировать рекламу тоже как персональные данные. После принятия GDPR ряд европейских специалистов говорили о том, что адрес электронной почты, составленный из полного имени, фамилии и названия компании уже сам по себе является персональными данными. Абсолютно все, что работодатель знает о своем работнике, является персональными данными для работодателя как оператора. 2) Является ли фото без ФИО и прочих данных персональными данными? Какие есть особенности при защите биометрических персональных данных? Фото без сведений о его владельце персональными данными не является, за исключением случая, когда оно используется в системе распознавания лиц, в которой уже есть математический шаблон изображения лица владельца. Например, Единая биометрическая система, в которую вносятся фото и слепки голоса клиентов банка, – анонимная, в ней есть только идентификатор владельца из ЕСИА, но она является информационой системой персональных данных. С другой стороны, фото даже с указанием того, кому оно принадлежит, вне системы распознавания лиц, используемой для биометрической идентификации, биометрическими данными на является. Биометрическая система персональных данных не может иметь уровень защищенности ниже третьего, поэтому, по сравнению с наиболее распространенными системами 4 уровня защищенности, в ней надо использовать большее количество мер обеспечения безопасности. Плюс для биометрических данных есть довольно жесткие ограничения, связанные с возможностью их обработки. 3) С чего начать руководителю отдела ИБ при подходе к задаче защиты персональных данных? Кто должен участвовать в организации процесса по защите персональных данных кроме CISO? Я считаю, что организация работы с персональными данными в организации – вообще задача не CISO. Руководитель службы ИБ должен решать вопросы реализации организационных и технических мер безопасности при обработке персональных данных в автоматизированных системах, и начинать надо с нормативки: правильно установить уровень защищенности персональных данных, сформировать модель или перечень актуальных угроз, определить механизмы их нейтрализации и средства которыми они будут реализованы с учетом возможности использования как базовых, так и компенсирующих мер. А затем строить подсистему безопасности вместе со специалистами ИТ-подразделения. Важное место здесь занимает правильное назначение прав пользователям системы, которое невозможно сделать без взаимодействия с руководителями бизнес-подразделений, обрабатывающих персональные данные. 4) Защита персональных данных – это формальность для выполнения требований регуляторов или необходимый набор мер с точки зрения реальной безопасности? Это может быть и формальностью, но особой необходимости заниматься формализмом нет – проверить реализацию мер защиты в негосударственной системе сегодня без специального наделения правительством соответствующими полномочиями не может никто (исключение здесь, пожалуй, только банки, поскольку Банк России имеет соответствующие полномочия, хотя в законе они и не прописаны). Но те, для кого персональные данные являются ценностью – банки, страховые компании, операторы связи и т.д., как правило, защищают данные не только для формальной демонстрации регуляторам. Но и здесь количество утечек говорит о недостаточности усилий, скорее всего – из-за отсутствия последствий в случае неправомерного доступа третьих лиц к персональным данным. 5) Нужна ли неавтоматизированная обработка персональных данных в 2020 году? Какие существуют принципиальные отличия по защите персональных данных в «бумажном» и электронном виде? Пока без нее обойтись нельзя. Не все вопросы решаются онлайн, но сфера бумажного документооборота неуклонно сужается. Вот и новые «бумажные» трудовые книжки с 2021 года выдавать не будут. Отличия в защите принципиальны. При неавтоматизированной обработке документы с персональными данными необходимо защитить только от физического доступа к ним злоумышленника, при автоматизированной варианты атак гораздо более разнообразны, в том числе они могут совершаться удаленно, поэтому и защищаться надо от большого количества внутренних и внешних угроз. 6) Процесс защиты персональных данных лучше доверить подрядчику или выполнить самим? Где взять шаблоны и примеры ОРД? Это зависит от того, какими силами и средствами располагает оператор. Если служба ИБ большая, в ней работают квалифицированные кадры, то многие задачи она сможет решить самостоятельно. Но даже в таких организациях комплексное проектирование развертывание больших и сложных систем безопасности делает подрядчик. У многих же операторов службы ИБ и даже ИТ вообще нет. Естественно, в них работы будут выполняться внешним подрядчиком. Кроме того, всё большая миграция в дата-центры и облака сводит участие оператора в обеспечении безопасности к минимуму. Все более популярными становятся SecaaS и услуги внешних SOC. Так что будущее – за аутсорсингом. 7) Как подготовиться к проверке регуляторов? Верно утверждение, что проверки подлежат только ОРД, наличие СЗИ и их настройки нередко остаются без внимания? Готовиться надо, проводя внутренний контроль или внешний аудит соответствия обработки требованиям законодательства и ревизию своих локальных нормативных актов. Поскольку Роскомнадзор не имеет полномочий по проверке требований статьи 19 закона «О персональных данных», определяющей состав и содержание мер безопасности, а ФСБ и ФСТЭК без наделения их полномочиями Правительством РФ прийти с проверкой в коммерческую организацию не могут, вопросы технической защиты остаются в негосударственных системах вне контроля регуляторов. Исключения, как я отмечал выше составляют банки. Есть еще мероприятия прокурорского надзора, к которым привлекаются эксперты из территориальных органов ФСБ России. Но не надо забывать, что Роскомнадзор, кроме ОРД, проверяет еще и процессы, и вот там как раз выявляется наибольшее количество нарушений. 8) Легитимно ли использовать несертифицированные ФСТЭК и ФСБ СЗИ? По каким критериям следует выбирать СЗИ для защиты персональных данных? Эффективны ли организационные меры вместо внедрения СЗИ? Приказ ФСТЭК № 21 прямо допускает применение компенсирующих мер, кроме того, ФСТЭК, начиная примерно с 2017 года, допускает применение не только сертификации, но и иных способов оценки соответствия. В частности, испытаний и приемки, которые оператор может выполнить самостоятельно. ФСБ иных способов оценки соответствия, кроме сертификации, не признает, однако сертифицированные СКЗИ нужны для нейтрализации актуальных угроз, так что при определении необходимости использования СКЗИ начинать надо именно с оценки угроз. Кроме того, на сайте ФСБ есть Извещение от 18.07.2016, в котором указано, что обязательная сертификация средств шифрования не требуется при передаче сообщений в сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну. А СЗИ необходимо выбирать, в первую очередь, исходя из функционала, способности нейтрализовать актуальную угрозу, совместимости с другими технически средствами в информационной системе, а не в зависимости от наличия голографической наклейки. Организационные меры полностью заменить технические не могут, но иногда полезны и, как правило, гораздо более дешевы. 9) Как защитить персональные данные в облаке? Что делать если облако находится за пределами РФ? При размещении персональных данных в облаке необходимо прописать в договоре с провайдером состав и содержание мер, обеспечивающих соответствие необходимого и известного оператору уровня защищенности, и ответственность провайдера за их несоблюдение. Здесь наиболее эффективными мерами являются штраф или неустойка в случае нарушения требований безопасности, которые не требуют доказательства размеров понесенных заказчиком-оператором убытков. При размещении данных в зарубежном облаке следует тщательно изучить описание мер безопасности, принимаемых провайдером (они серьезными игроками прописываются очень детально), и оценить их достаточность для защиты размещаемых в облаке персональных данных. Риски, конечно, лежат на операторе, но и значимых утечек по вине провайдеров практически нет, в отличие от операторов. 10) Насколько эффективно внедрять ИСПДн с несколькими УЗ? Или лучше «построить» одну ИСПДн, соответствующую максимальным требованиям по защите ПДн? Одна ИСПДн максимального уровня защищенности, с точки зрения проектирования может быть и предпочтительнее, но цена средств защиты и их эксплуатации, которые не являются необходимыми для некоторых ее компонентов, может оказаться более значимым фактором при принятии решения. Мы часто встречаемся в проектах со случаями, когда крупный оператор, использующий большое количество различного прикладного программного обеспечения и СУБД, объединяет эти компоненты в системы по функциональному признаку (персонал, заказчики, конечные потребители и т.д.), и такой подход для некоторых операторов может оказаться оптимальным. 11) Аутсорсинг ИБ, ИТ и отсутствие собственных СЗИ – это преграда для защиты персональных данных? Напротив, это совсем не преграда, а способы выполнить требования закона без дополнительного штата персонала, а часто – и дешевле, чем полностью своими силами. 12) Для каких случаев актуально обезличивание персональных данных? Приведите примеры. Обезличивание эффективно всегда, поскольку утечка обезличенных данных, как правило, не влечет серьезных последствий для субъекта. Но оно возможно не во всех системах. К тому же, надо различать обратимое обезличивание (псевдономизацию в GDPR) и необратимое (анонимизацию в том же европейском регламенте). Наше законодательство об этих различиях молчит, что порождает путаницу. Кроме того, Роскомнадзор примерно с 2016 года занял очень странную для меня позицию, в соответствии с которой обезличивать персональные данные могут только те операторы, которым это предписано законом, и постоянно делает операторам по этому поводу замечания при проверках, рекомендуя удалить упоминания об обезличивании из локальных актов. Поэтому этот способ снижения негативных последствий инцидентов с персональными данными у нас используется редко, а жаль. А пример приведу один. Оператор решил перенести «разбухшую» CRM-систему в облако за рубежом. Размещение там обезличенных данных упрощает выполнение требований законодательства, не требует согласия субъектов, в то же время наличие базы индексов, которыми заменены идентифицирующие данные в CRM, локально у оператора в России позволяет использовать весь функционал CRM-системы зарубежного вендора. 13) В чем разница между отечественным и западным законодательством по защите информации ограниченного доступа, в том числе персональных данных? Если сравнивать закон «О персональных данных» и регламент Евросоюза GDPR, различия очевидны. GDPR гораздо более детальный, с большим количеством определений используемых терминов и примеров, разъяснений. У нас – только требования, но при этом значительная часть применяемых в законе понятий не определена, что очень мешает его буквальному толкованию и единообразному применению. Следующее отличие – концептуальное. Европейский регламент основан на риск-ориентированном подходе, от оператора (контролера) постоянно требуется оценивать риски для субъектов, риски использования новых технологий, массовой обработки данных и т.д. В 152-ФЗ слово «риск» не используется ни разу! Из такого подхода вытекает еще одно серьезное отличие. Регламент не содержит конкретных требований к обеспечению безопасности и не предполагает принятие для их детализации нормативных актов. Оператор сам определяет состав и содержание мер , может пользоваться или не пользоваться стандартами и т.д. Но следствие этого – значительно более серьезная ответственность за инциденты, в первую очередь – за утечку, порядок действий при которой детально расписан, и его несоблюдение само по себе влечет огромные штрафы. И максимальный размер штрафов – это тоже существенное различие российского и европейского законодательства. 14) Какие меры необходимо принять для более эффективного внедрения процесса обеспечения безопасности персональных данных помимо увеличения штрафов? Надо заняться, наконец-то, защитой прав субъектов, а не проверкой выполнения формальных требований типа подачи уведомления об обработке и его содержания. Исправить ошибки и несоответствия в законе, которых до сих про достаточно. Переключиться на проверку организаций, допустивших серьезные инциденты, а не отобранных по непрозрачным критериям компаний и учреждений, где ни инцидентов, ни жалоб субъектов не было. Штрафы надо не только увеличивать, но и ввести, в первую очередь, штрафы за утечку независимо от виновника такого инцидента. И привлекать к ответственности не за невыполнение требований, часто избыточных и формальных, а за нанесение вреда субъекту, нарушение его прав и неправомерные действия с персональными данными. 15) Как стать экспертом по защите персональных данных? Какие учебные курсы необходимо закончить? Курсы нужны, чтобы войти в тему, разобраться в основах или конкретных узких вопросах. Экспертом они не сделают. Надо много читать, думать, пытаться разобраться в сложных вопросах, которых очень много, работать в живых проектах, общаться с регуляторами и надзорными органами, активно взаимодействовать с коллегами. Это очень долгий и сложный путь, требующий много времени и больших усилий. 16) Какие изменения ждет законодательство в области защиты персональных данных в России? К сожалению, тенденции неутешительные – все большее ограничение приватности, все большее вмешательство государственных органов и увеличение их прав, бесконтрольное накопление и хранение все большего объема сведений о субъектах госорганами и частными компаниями, создание всевозможных «цифровых рейтингов», которые в перспективе будут затрагивать права и свободы граждан, построение глобальной системы слежения с использованием распознавания лиц, номеров автомобилей, геолокации и т.д. 17) Ваше личное мнение относительно последних новостей в СМИ по сбору персональных данных правительством Москвы? Отрицательное. Эти меры не способствуют достижению декларируемой цели, вводятся со значительными нарушениями законодательства и принуждением к его нарушению санкциями вплоть до административной приостановки деятельности, непропорциональны и избыточны, не эффективны. Их принятие будет иметь очень серьезные последствия для граждан и бизнеса, но для граждан – в первую очередь.
10:28