Найти тему
Иван Земцов
134 подписчика

Почему выполнение требований 152-ФЗ и защита персональных данных не одно и то же?

24
7 мин
Оглавление

Столкнулся тут с искренней уверенностью своего собеседника, что

защита персональных данных - это выполнение требований 152-ФЗ.

Во мне такая мысль вызвала удивление. А потом я понял, что со стороны не погруженного в тему человека, это действительно так выглядит. Вот и решил написать статью с кратким объяснением, почему это не так.

Разберемся с понятиями

Сразу оговорюсь, что:

  • я не буду рассматривать ситуацию неосознанной подмены понятий. Когда человек подразумевает "выполнение 152-ФЗ", а произносит "защита персональных данных". Такая подмена часто встречается на бытовом уровне общения и в маркетинговых материалах. Но в профессиональном общении я считаю надо подходить осознанно к употреблению таких формулировок.
  • ну и естественно есть много подходов к определению "защита данных". Я буду исходить из ГОСТовского определения: "Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию." То есть, цель такой деятельности - предотвратить нарушение конфиденциальности, целостности и доступности. Собственно из такого же определения ФСТЭК исходит при формулировании своих требований.

Приступим...

Государственная концепция защиты персональных данных

Федеральный закон №152-ФЗ от 27.07.2006г. "О персональных данных" появился в следствии ратификации конвенции Совета Европы "Конвенция о защите физических лиц при автоматизированной обработке персональных данных" (Заключена в г. Страсбурге 28.01.1981). Для понимания сути этой конвенции считаю необходимым ознакомиться с преамбулой к ней:

Государства - члены Совета Европы, подписавшие настоящий документ,
учитывая, что цель Совета Европы заключается в достижении большего единства между его членами, основанного, в частности, на уважении принципа господства права, а также соблюдении прав человека и основных свобод;
учитывая желательность расширения гарантий прав и основных свобод для всех, и в частности права на уважение частной жизни, с учетом увеличения трансграничного потока персональных данных, подвергающихся автоматизированной обработке;
подтверждая вместе с тем свою приверженность свободе информации невзирая на границы;
признавая необходимость согласования таких основных ценностей, как уважение частной жизни и свободное распространение информации между народами,
договорились о нижеследующем:

Проще говоря, решали следующую проблему: найти баланс между правом на уважение частной жизни и свободой передачи информации. Проблема была обострена активно развивающимися информационными технологиями, которые позволяли передавать данные быстро и в большом объёме. Обращаю внимание, что задача в формулировке "защита права" чисто юридическая. В ГК РФ даже есть целая статья, посвященная способам защиты прав:

ГК РФ Статья 12. Способы защиты гражданских прав
Защита гражданских прав осуществляется путем:
- признания права;
- восстановления положения, существовавшего до нарушения права, и пресечения действий, нарушающих право или создающих угрозу его нарушения;
- признания оспоримой сделки недействительной и применения последствий ее недействительности, применения последствий недействительности ничтожной сделки;
- признания недействительным решения собрания;
- признания недействительным акта государственного органа или органа местного самоуправления;
- самозащиты права;
- возмещения убытков;
- взыскания неустойки;
- компенсации морального вреда;
- прекращения или изменения правоотношения;
- неприменения судом акта государственного органа или органа местного самоуправления, противоречащего закону;
- иными способами, предусмотренными законом.

Российский закон о персданных почти полностью был списан с этой конвенции (по-другому быть и не могло, ведь РФ ратифицировало конвенцию). Поэтому суть закона РФ точно такая же. Это подтверждается статьёй 2 закона:

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Хоть в такой формулировке и появляется слово "тайна", смысла это не меняет. Согласитесь, что "защита права на тайну" отличается от "защита тайны". Получается, что результатом выполнения требований закона является признание со стороны организации прав сотрудников и клиентов на "неприкосновенность частной жизни, личную и семейную тайну". Поскольку признать право можно по-разному, закон предусматривает выполнение конкретных действий, указанных в статьях 18.1 и 19 закона, что всего лишь означает, что признание права должно быть деятельным. Организация должна своими действиями продемонстрировать, что признаёт права людей и готова нести юридическую ответственность в случае нарушения.

А как же защита данных?

Исходя из вышеуказанной концепции, защита персональных данных становится ОДНИМ из способов для организации реализовать свою ответственность. На уровне международных стандартов организациям рекомендовано использовать риск-ориентированный подход в вопросах обеспечения информационной безопасности. Одна из основных идей риск-ориентированного подхода - выбор одного из 4-х способов обработки конкретного риска:

  • сохранение риска ("если что, заплатим штраф");
  • предотвращение риска ("откажемся от обработки данных");
  • перенос риска ("застрахуем все риски");
  • снижение риска ("защитим информацию").

И с чем, вероятно, сложно согласиться некоторым людям, так это с тем, что все 4 варианта вполне приемлемы для решения задачи "защита прав". А вот задача "защита данных" при первых трёх даже не появляется.

Но есть же технические требования ФСТЭК и ФСБ!

Соглашусь, есть. Но для большинства, это просто рекомендации. ФСТЭК и ФСБ уполномочены проверять их выполнение только в государственных органах. То есть, к обычным юридическим лицам ни ФСТЭК ни ФСБ не придут проверять техническую защиту персональных данных. Ну и ответственности за невыполнения приказов 21 и 378 законом не установлено.

Мысленный эксперимент

А теперь давайте представим, что всё не так. Что технические требования обязательно проверят и накажут в случае невыполнения. Что цель в законе чётко определена как "защита конфиденциальности персональных данных". Что тогда? Далее я позволю себе свою субъективную интерпретацию.

Тогда на мой взгляд мы приходим к нескольким подходам к решению задачи "защиты данных", но уже в другой формулировке:

  • "ответственный",
  • "безответственный",
  • "инфантильный".

Возьмем для примера одну простую техническую меру защиты данных "антивирусная защита".

  1. "Ответственный" подход подразумевает осознанное принятие на себя ответственности за защиту данных, это значит, что, не смотря на то, что в требованиях нормативного акта не продуманы все детали, компания, исходя из собственного понимания проблемы, будет обеспечивать полный цикл антивирусной защиты: обучение и мотивация сотрудников не скачивать вирусы, тщательный выбор антивирусов, продуманная "антивирусная политика", круглосуточный мониторинг, разбор и анализ всех инцидентов, связанных с обнаружением "вируса" и т.п.
  2. "Безответственный" подход подразумевает осознанную манипуляцию информацией, цель которой - создать видимость, что все требования выполняются. Антивирус куплен, документ есть, значит антивирусная защита есть.
  3. Инфантильный подход очень похож на первый за исключением того, что организация не принимает на себя никакой ответственности, при этом выполняя все требования "как может". Написано в законе "антивирусная защита". Мы можем выделить бюджет на один антивирус на сервер с пресданными. Наймем специалиста по объявлению, он нам его поставит. И всё! Если что-то произойдёт к нам какие претензии? Мы сделали как в законе написано, значит всё защитили. Это наверное разработчики антивируса виноваты или специалист по объявлению.

Какой вывод можно сделать?

Для меня вывод такой. Защита информации это деятельность, которую невозможно реализовать просто потому, что где-то написаны требования.

Защита информации - это осознанная и ответственная деятельность, с глубоким пониманием смысла этой деятельности и методов достижения результата.

Лет 10 назад мы с другом устроили "челлендж" - год без антивируса! Целый год мы использовали свои домашние компьютеры как обычно, только удалили все защитные программы. Прошёл год. Мы установили на свои компьютеры антивирусы и запустили полную проверку, чтобы выяснить, поймали мы вирус за этот год или нет. У нас обоих результат получился одинаковый - 0 вирусов. Хотя за этот самый год мы, работая в "компьютерной помощи", ни одну сотню клиентов с установленными антивирусами избавляли от вирусов. Антивирусом для нас был наш опыт и знания, а не программа на компьютере. Так что "требования по защите информации" и "защита информации" - это принципиально разные понятия.

Взгляните на эти темы
Безопасность и правопорядок
Гаджеты и электроника
Найти тему
Кибербезопасность
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Технологии в финансах
Технологии будущего
Утилизация отходов
Общество
Гаджеты и электроника
5,73 млн интересуются