Конференция «Информационная безопасность в телекоммуникациях» – о защите ПДн

От выступления регуляторов в области защиты ПДн осталось двоякое ощущение. С одной стороны, ощущается некоторая общая растерянность в части комплексного подхода к обеспечению безопасности ПДн непонятно, кто и на каких основаниях будет заниматься инструментальным аудитом ИСПДн, на чьи средства будут организованы выезды аудиторов цитата: "из Хабаровска для проверки московских организаций". С другой стороны, нельзя отрицать уже существующий практический опыт инструментальных проверок безопасности ПДн, как положительный, так и отрицательный.

Любопытны, скажем, ситуации, в которых практика дает осечку: допустим, субъект узнал об обработке своих ПДн, согласия на которую он не давал, неким оператором и, как юридически грамотный гражданин, решил обратиться к оператору с соответствующим запросом. Для запроса субъект ПДн должен знать, на каком основании обрабатываются его ПДн, иначе оператор имеет право не отвечать на поданный запрос. Другой вариант – «DoS-атака оператора» флуд запросами по ПДн. Согласно закону, ответ оператора на запрос субъекта должен быть предоставлен в течение 7 дней, иначе оператора ждут юридические последствия. Были прецеденты блокирования всех прочих активностей компании-оператора, кроме ответов на запросы субъектов.

С принятием поправок, в том числе увеличением штрафов за нарушение правил обработки ПДн, субъект ПДн имеет право на возмещение оператором ПДн нескольких видов ущерба: имущественного вреда, понесенных убытков, морального вреда. Тем не менее, размер компенсаций ущерба планируется сделать сравнимым с европейским уровнем. Также набирает оборот практика наказаний за нарушение оператором ПДн права субъекта на судопроизводство (затягивание процесса, неявка, непредставление документов).

О новых обязанностях оператора ПДн: должны быть разработана и публично доступна Политика обработки ПДн, описание принимаемых мер по обеспечению безопасности ПДн, должны быть разработаны методики оценки вреда от нарушений безопасности ПДн, должны быть регламентированы внутренний контроль и/или аудит безопасности ПДн. Предполагается, что регулярность подобных работ позволит поддерживать процессы в актуальном состоянии и минимизировать прочие производственные риски (например, жалобы субъектов). С другой стороны, если оператор будет "судорожно" готовиться к ежегодным проверкам, данные меры будут восприниматься исключительно как формальность, весьма тяжелая в исполнении.

Наиболее часто выявляемое нарушение несоответствие декларируемых методов обработки ПДн фактическому положению дел. Выясняется, что люди, указанные как ответственные за обработку и защиту ПДн, уже уволились, а новые не в курсе своих обязанностей. Это может быть поводом для повторной проверки. Планируется, перейти от проверки перечня документов, к выполнению требований закона. Направление развития безусловно правильное и тут следующий логичный шаг проверка соответствия технологического. При этом остается некая невнятная позиция представителей регуляторов относительно того, кто будет этим контролем заниматься. Складывается ощущение, что потребность формируется и, фактически, уже фиксируется требованиями, а возможные пути решения пока не проработаны, как яркий индикатор спад активности компаний, энергично включившихся на первых порах в аккредитацию для проверки ПДн в Роскомнадзоре.

Уведомление компании-оператора об обработке ПДн с включением в реестр операторов ПДн должно в дальнейшем стать существенным репетиционным и конкурентным преимуществом для компании, однако, тут нельзя забывать, что получение преимуществ от статуса оператора ПДн влечет за собой и обязательства по соблюдению требований обработки и защиты ПДн, а, следовательно, и санкции за нарушения обработки ПДн, в случае нарушения таких требований. Из всего вышесказанного можно сделать вывод, что обработка ПДн должна стать полноправным бизнес-процессом организации. Работы по увеличению «потенциала» закона о ПДн постоянно ведутся, но, что сдерживает переход потенциальной энергии в кинетическую, пока не ясно.

Алексей Качалин
заместитель генерального директора,
ЗАО «Перспективный Мониторинг»