Пдн

Сколько бы ни разбирали мифы и легенды, которыми окружено соответствие 152-ФЗ, что-то всегда остается за кадром. Сегодня мы хотим обсудить не всегда очевидные нюансы, с которыми могут столкнуться как крупные компании, так и совсем небольшие предприятия:

• тонкости классификации ПДн по категориям когда небольшой интернет-магазин собирает данные, относящиеся к специальной категории, даже не зная об этом;

• где можно хранить бэкапы собранных ПДн и производить над ними операции;

• чем отличается аттестат и заключение о соответствии, какие вообще документы запрашивать у провайдера и все в таком духе.

Напоследок мы поделимся с вами собственным опытом прохождения аттестации. Поехали!

Экспертом в сегодняшней статье выступит Алексей Афанасьев, специалист по вопросам ИБ облачных провайдеров ИТ-ГРАД и #CloudМТS (входят в группу МТС).

Тонкости классификации

Мы часто сталкиваемся желанием клиента быстро, без аудита ИС определить требуемый уровень защищенности для ИСПДн. Некоторые материалы в интернете на эту тему создают ложное впечатление, что это простая задача и допустить ошибку достаточно сложно.

Для определения УЗ необходимо понимать, какие данные будут собираться и обрабатываться ИС клиента. Иногда однозначно определить требования к защите и категорию ПДн, которыми оперирует бизнес, бывает непросто. Одни и те же типы персональных данных могут быть совершенно по-разному оценены и классифицированы. Поэтому в ряде случае мнение бизнеса может расходиться с мнением аудитора или даже проверяющего. Рассмотрим несколько примеров.

Автопарк. Казалось бы, достаточно традиционный вид бизнеса. Многие автопарки работают десятилетиями, и их владельцы нанимают ИП, физлиц. Как правило, данные сотрудников подпадают под требования УЗ-4. Однако для работы с водителями необходимо не только собирать анкетные данные, но и производить медицинский контроль на территории автопарка перед выходом на смену, и собираемая в процессе информация сразу попадает в категорию медицинских данных а это персональные данные специальной категории. Кроме того, автопарк может запрашивать справки, которые далее будут храниться в деле водителя. Скан такой справки в электронном виде данные о состоянии здоровья, персональные данные специальной категории. Значит, УЗ-4 уже не обойтись, требуется минимум УЗ-3.

Интернет-магазин. Казалось бы, собираемые имена, emailы и телефоны укладываются в общедоступную категорию. Однако, если ваши клиенты указывают гастрономические предпочтения, например, халяль или кошер, такая информация может быть расценена как данные о религиозной принадлежности и убеждениях. Поэтому при проверке или проведении других контрольных мероприятий проверяющий может отнести собираемые вами данные к специальной категории ПДн. Вот если бы интернет-магазин собирал информацию о том, предпочитает ли его покупатель мясо или рыбу, данные можно было бы отнести к категории иных ПДн. Кстати, а что делать с вегетарианцами? Ведь это тоже можно отнести к философским убеждениям, которые тоже относятся к спецкатегории. Но, с другой стороны, это может быть просто позицией человека, который исключил мясо из своего рациона. Увы, никакой таблички, которая однозначно определяла категорию ПДн в таких тонких ситуациях, нет.

Рекламное агентство с помощью какого-либо западного облачного сервиса обрабатывает общедоступные данные своих клиентов ФИО, адреса электронной почты и телефоны. Эти анкетные данные, конечно, относятся к ПДн. Возникает вопрос: легально проводить такую обработку? Можно ли вообще перемещать такие данные без обезличивания за пределы РФ, например, хранить бэкапы в каких-нибудь зарубежных облаках? Конечно, можно. Агентство имеет право хранить эти данные и не в России, однако первоначальный сбор, согласно нашему законодательству, необходимо выполнять на территории РФ. Если вы бэкапите такую информацию, рассчитываете на ее основе какую-то статистику, проводите исследования или выполняете с ними какие-то иные операции все это можно делать и на западных ресурсах. Ключевой момент с точки зрения законодательства где происходит сбор ПДн. Поэтому важно не путать первоначальный сбор и обработку.

Как следует из этих коротких примеров, не всегда работа с ПДн однозначна и проста. Требуется не просто знать, что вы с ними работаете, но и уметь их правильно классифицировать, понимать, как работает ИС, чтобы правильно определить требуемый уровень защищенности. В некоторых случаях может стоять вопрос, какой объем ПДн реально необходим организации для работы. Возможно ли отказаться от наиболее серьезных или просто лишних данных? Кроме того, регулятор рекомендует обезличивать ПДн там, где это возможно.

Как в примерах выше, иногда можно столкнуться с тем, что проверяющие органы интерпретируют собираемые ПДн несколько иначе, чем вы сами их оценили.

Конечно, можно взять в помощники аудитора или системного интегратора, но будет ли помощник ответственен за выбранные решения в случае проверки? Стоит отметить, что ответственность всегда лежит на владельце ИСПДн операторе персональных данных. Именно поэтому, когда компания проводит подобные работы, важно обратиться к серьезным игрокам на рынке таких услуг, например, к компаниям, проводящим аттестационные работы. Компании-аттестаторы имеют большой опыт в проведении подобных работ.

Варианты построения ИСПДн

Построение ИСПДн не только технический, но и во многом юридический вопрос. ИТ-директор или директор по безопасности должен обязательно проконсультироваться с юристом. Поскольку в компании далеко не всегда есть специалист с нужным вам профилем, стоит посмотреть в сторону аудиторов-консалтеров. Многие скользкие моменты могут отнюдь не очевидны.

Консультация позволит определить, с какими персональными данными вы имеете дело, какой уровень защищенности им требуется. Соответственно, вы получите представление об ИС, которую необходимо создать или дополнить средствами защиты и ОРД.

Часто выбор для компании стоит из двух вариантов:

1. Построить соответствующую ИС на своих программно-аппаратных решениях, возможно, в своей серверной.

2. Обратиться к облачному провайдеру и выбрать эластичное решение, уже аттестованную такую виртуальную серверную.

Большинство ИС, обрабатывающих ПДн, использует традиционный подход, который, с точки зрения бизнеса, сложно назвать легким и удачным. При выборе этого варианта необходимо понимать, что технический проект будет включать описание оборудования, включая программно-аппаратные решения и платформы. А значит, вам придется столкнуться со следующими трудностями и ограничениями:

• низкая эластичность;

• долгий срок реализации проекта: требуется выбрать, закупить, установить, настроить и описать систему;

• масса бумажной работы, как пример разработка полного пакета документации на всю ИСПДн.

Кроме того, бизнес, как правило, разбирается только в верхнем уровне своей ИС в используемых бизнес-приложениях. Иными словами, ИТ-персонал квалифицирован в своей узкой области. Отсутствует понимание того, как работают все нижние уровни: программно-аппаратные средства защиты, системы хранения, резервное копирование и, конечно, как с соблюдением всех требований настроить средства защиты, построить железную часть конфигурации. Важно понимать: это огромный пласт знаний, которые лежат за пределами бизнеса клиента. Именно тут и может пригодиться опыт облачного провайдера, предоставляющего аттестованную виртуальную серверную.

В свою очередь, облачные провайдеры обладают рядом преимуществ, которые, без преувеличения, способные закрыть 99% потребностей бизнеса в области защиты персональных данных:

• капитальные затраты преобразуются в операционные;

• провайдер со своей стороны гарантирует обеспечение необходимого уровня безопасности и доступности на базе проверенного типового решения;

• нет необходимости содержать штат специалистов, которые будут обеспечивать работу ИСПДн на уровне железа;

• провайдеры предлагают гораздо более гибкие и эластичные решения;

• специалисты провайдера имеют все необходимые сертификаты;

• compliance не ниже, чем при построении собственной архитектуры, с учетом требований и рекомендаций регуляторов.

Старый миф о том, что размещать персональные данные в облаках нельзя, до сих пор необычайно популярен. Правдив он только отчасти: ПДн действительно нельзя размещать в первом попавшемся облаке. Требуется соблюдение некоторых технических мер, применение определенных сертифицированных решений. Если провайдер соответствует всем требованиям законодательства, риски, связанные с утечкой ПДн, сводятся к минимуму. У многих провайдеров есть отдельная инфраструктура для обработки ПДн в соответствии с 152-ФЗ. Однако к выбору поставщика тоже нужно подходить со знанием определенных критериев, их мы обязательно коснемся ниже.

Клиенты нередко приходят к нам с некоторыми опасениями по поводу размещения ПДн в облаке провайдера. Что ж, давайте сразу их обсудим.

• Данные могут быть похищены при передаче или миграции

Опасаться этого не стоит провайдер предлагает клиенту создание защищенного канала передачи данных, построенного на сертифицированных решениях, усиленные меры аутентификации для контрагентов и сотрудников. Остается выбрать подходящие способы защиты и имплементировать их в рамках работы с клиентом.

• Приедет маски-шоу и унесет/опечатает/обесточит сервер

Вполне можно понять заказчиков, которые опасаются, что их бизнес-процессы будут нарушены вследствие недостаточного контроля над инфраструктурой. Как правило, об этом думают те клиенты, чье железо ранее располагалось в небольших серверных, а не специализированных ЦОД. В реальности ЦОДы оснащены современными средствами как физической, так и информационной защиты. Любые операции в таком дата-центре практически нереально произвести без достаточных оснований и бумаг, а подобные активности требуют соблюдения целого ряда процедур. Вдобавок выдергивание вашего сервера из ЦОД может затронуть других клиентов провайдера, и это уже точно никому не нужно. К тому же, никто не сможет указать пальцем именно на ваш виртуальный сервер, поэтому, если кто-то и захочет его украсть или устроить маски-шоу, сначала ему придется столкнуться с массой бюрократических проволочек. За это время вы, скорее всего, успеете несколько раз мигрировать на другую площадку.

• Хакеры взломают облако и украдут данные

Интернет и печатная пресса пестрят заголовками о том, как очередное облако пало жертвой киберпреступников, а миллионы записей с ПДн утекли в сеть. В подавляющем большинстве случаев уязвимости обнаруживались совсем не на стороне провайдера, а в ИС жертв: слабые или вообще пароли по умолчанию, дыры в движках сайтов и БД, банальная беспечность бизнеса при выборе средств защиты и организации процедур доступа к данным. Все аттестованные решения проверяются на наличие уязвимостей. Мы тоже регулярно проводим контрольные пентесты и аудиты безопасности как самостоятельно, так и средствами внешних организаций. Для провайдера это вопрос репутации и бизнеса в целом.

• Провайдер/сотрудники провайдера украдут ПДн в корыстных целях

Это достаточно щепетильный момент. Ряд компаний из мира ИБ пугают своих клиентов и настаивают, что внутренние сотрудники опаснее хакеров извне. Возможно, в ряде случаев это так, но бизнес нельзя построить без доверия. Время от времени мелькают новости о том, что собственные сотрудники организаций сливают данные клиентов злоумышленникам, а внутренняя безопасность подчас организована намного хуже, чем внешняя. Здесь важно понимать, что любой крупный провайдер крайне не заинтересован в негативных кейсах. Действия сотрудников провайдера хорошо регламентированы, разделены роли и зоны ответственности. Все бизнес-процессы построены так, что случаи утечки данных крайне маловероятны и всегда заметны внутренним службам, поэтому клиентам проблем с этой стороны опасаться не стоит.

• Вы мало платите, так как оплачиваете услуги данными своего бизнеса.

Еще один миф: клиент, арендующий защищенную инфраструктуру по комфортной цене, на самом деле платит за нее своими данными так нередко думают специалисты, которые не прочь прочитать перед сном пару теорий заговора. Во-первых, возможность проведения каких-то операций с вашими данными помимо тех, что указаны в поручении, по сути равна нулю. Во-вторых, адекватный провайдер дорожит отношениями с вами и своей репутацией кроме вас у него еще множество клиентов. Более вероятен обратный сценарий, при котором провайдер будет рьяно защищать данные своих клиентов, на которых держится в том числе и его бизнес.

Выбираем облачного провайдера для ИСПДн

На сегодняшний день рынок предлагает немало решений для компаний, являющихся операторами ПДн. Приведем ниже общий список рекомендаций по выбору подходящего.

• Провайдер должен быть готов заключить официальный договор с описанием обязанностей сторон, SLA и зон ответственности в ключе обработки ПДн. Фактически, между вами и провайдером, помимо договора на сервис, должно быть подписано поручение на обработку ПДн. В любом случае стоит внимательно их изучить. Важно понимать разграничение зон ответственности между вами и провайдером.

• Обратите внимание, что сегмент должен соответствовать требованиям, а значит, иметь аттестат с указанием уровня защищенности не ниже, чем требуется вашей ИС. Бывает, что провайдеры публикуют только первую страницу аттестата, из которой мало что понятно, или ссылаются на аудит или прохождение процедур соответствия, не публикуя сам аттестат (а был ли мальчик?). Стоит его запросить это публичный документ, в котором указывается, кем была проведена аттестация, срок действия, расположение облака и т.п.

• Провайдер должен предоставлять информацию о том, где находятся его площадки (объекты защиты), чтобы вы могли контролировать размещение ваших данных. Напомним, что первоначальный сбор ПДн должен выполняться на территории РФ, соответственно в договоре/аттестате желательно видеть адреса ЦОД.

• Провайдер должен использовать сертифицированные СЗИ и СКЗИ. Конечно, большинство провайдеров не афишируют используемые технические средства защиты и архитектуру решений. Но вы как клиент не сможете не знать об этом. Так, например, для удаленного подключения к системе управления (порталу управления) необходимо использовать средства защиты. Провайдер не сможет обойти это требование и предоставит вам (или потребует от вас использовать) сертифицированные решения. Возьмите в тест ресурсы и вы сразу поймете, как и что устроено.

• Крайне желательно, чтобы облачный провайдер оказывал дополнительные услуги в сфере ИБ. Это могут быть различные сервисы: защита от DDoS-атак и WAF, антивирусный сервис или песочница и т.п. Все это позволит вам получать защиту как сервис, не отвлекаться на построение систем защиты, а заниматься бизнес-приложениями.

• Провайдер должен быть лицензиатом ФСТЭК и ФСБ. Как правило, такая информация размещается прямо на сайте. Обязательно запросите эти документы и проверьте, правильно ли указаны адреса предоставления услуг, название компании провайдера и т.п.

Давайте подытожим. Аренда инфраструктуры позволит отказаться от CAPEX и оставить в своей зоне ответственности только свои бизнес-приложения и сами данные, а тяжелое бремя аттестации железа и программно-аппаратных средств передать провайдеру.

Как мы проходили аттестацию

Совсем недавно мы успешно прошел переаттестацию инфраструктуры Защищенного облака ФЗ-152 на соответствие требованиям для работы с персональным данными. Работы проводил Национальный аттестационный центр.

На текущий момент Защищенное облако ФЗ-152 аттестовано для размещения информационных систем, участвующих в обработке, хранении или передаче персональных данных (ИСПДн) согласно требованиям уровня УЗ-3.

Процедура аттестации предполагает проверку соответствия инфраструктуры облачного провайдера на соответствие уровню защиты. Сам провайдер предоставляет сервис IaaS и не является оператором персональных данных. Процесс предполагает оценку как организационных (документация, приказы и т.п.), так и технических мер (настройка средств защиты и пр.).

Тривиальным его назвать нельзя. Несмотря на то, что ГОСТ по программам и методикам проведения аттестационных мероприятий появился еще в 2013 году, жестких программ для облачных объектов до сих пор не существует. Аттестационные центры разрабатывают эти программы, основываясь на собственной экспертизе. С появлением новых технологий программы усложняются и модернизируются, соответственно, аттестатор должен иметь опыт работы с облачными решениями и понимать специфику.

В нашем случае объект защиты состоит из двух локаций.

• Непосредственно в ЦОД расположены облачные ресурсы (сервера, СХД, сетевая инфраструктура, средства защиты и пр.). Безусловно, такой виртуальный ЦОД подключен к сетям общего пользования, соответственно, должны выполняться определенные требования по межсетевому экранированию, например, использование сертифицированных межсетевых экранов.

• Вторая часть объекта средства управления облаком. Это рабочие станции (АРМ администратора), с которых осуществляется управление защищенным сегментом.

Локации связываются через VPN-канал, построенный на СКЗИ.

Поскольку технологии виртуализации создают предпосылки для появления угроз, мы используем и дополнительные сертифицированные средства защиты.

Если клиенту требуется аттестация его ИСПДн, после аренды IaaS ему останется только провести оценку информационной системы выше уровня виртуального ЦОД. Эта процедура подразумевает проверку инфраструктуры и используемого на нем ПО. Так как по всем инфраструктурным вопросам вы можете ссылаться на аттестат провайдера, вам останется только провести работы с ПО.

В заключение приведем небольшой чек-лист для компаний, которые уже работают с ПДн или только планируют. Итак, как обрабатывать и не обжечься.

1. Для аудита и разработки моделей угроз и нарушителя пригласите опытного консалтера из числа аттестационных лабораторий, которые помогут разработать необходимые документы и доведут вас уже до этапа технических решений.

2. На этапе выбора облачного провайдера обращайте внимание на наличие аттестата. Хорошо, если компания публично разместила его прямо на сайте. Провайдер должен быть лицензиатом ФСТЭК и ФСБ, а предлагаемый им сервис аттестован.

3. Убедитесь, что у вас будет заключен официальный договор и подписано поручение на обработку ПДн. На основании этого вы сможете провести как проверку на соответствие, так аттестацию ИСПДн Если эти работы на этапе технического проекта и создания проектно-технической документации вам кажутся обременительными, стоит обратиться к сторонним консалтинговым компаниям из числа аттестационных лабораторий.

Если для вас актуальны вопросы обработки ПДн, 18 сентября, в эту пятницу, будем рады видеть вас на вебинаре Особенности построения аттестованных облаков.

Всем привет, в 2020 году прокатилась новая волна спама от так называемого Федерального центра по защите персональных данных СДС Росконтроль. Там все по классике пугают операторов персональных данных миллионными штрафами и обещают решить все проблемы всего за каких-то 40 тысяч рублей. Но история эта началась гораздо раньше, и я бы хотел сначала провести небольшую ретроспективу.

2018 год. Россертификация

В 2018 году в нашу организацию, которая тоже занимается, в том числе, защитой персональных данных, начали поступать многочисленные запросы от юридических лиц о том, что им пришло электронное письмо от какой-то Россертификации и как им на него реагировать.

У нас сохранился образец DOCX-файла , который был прикреплен к тем письмам. Потратив некоторое время и проведя небольшое расследование, мы пришли к выводу, что это мошенники. Извиняюсь, что так вот сходу отменил интригу заголовка, но, поверьте, дальше в статье будет много интересного.

Сразу же с ходу в теме письма начинаются психологические манипуляции, давящие на страх и беспокойство, которые кроются в словах Предписание Рос чего-то там. Среднестатистический работник бухгалтерии, знающий, что госорганы готовы выписывать предписания и штрафы за каждый чих, конечно, в первую очередь почувствует запах неприятностей, а потом уже начнет думать и осознавать происходящее.

В самом вложении также в шапке красуется Россертификация. Пока не понятно, это действительно госконтора или ООО, или еще что-то другое. А вот ниже уже интереснее указаны реквизиты ИНН, КПП, ОГРН и ОКПО. Быстрый поиск в ЕГРЮЛ дает нам результат это данные некоего ООО Единый центр сертификации. Запомним это и едем дальше, осознавая, что подобные предписания без каких-либо договоров, например на аттестационные испытания, не имеет права выдавать ни одно ООО.

Далее нам вешают лапшу о начале внеплановых проверок с 1 апреля 2018 года, как будто ранее РКН не проводил внеплановых проверок по персональным данным. В этом же предложении жирным шрифтом акцентируется, что якобы все организации должны уведомить РКН об обработке персональных данных, хотя в части 2 статьи 22 Федерального закона 152-ФЗ О персональных данных приводится целых 9 пунктов исключений, когда оператор ПДн может не подавать такое уведомление.

По штрафным санкциям опять недостоверная на тот момент информация. Нижняя граница штрафа для юридических лиц 15 тысяч рублей, а не 45.

И под конец моё любимое страшилка про закрытие предприятия на 90 суток за невыполнение закона О персональных данных. Я думал, что недобросовестные коллеги оставили эту байку в 2010 году как максимум. И, конечно же, такой нормы нет в упомянутой статье 13.11 КоАП РФ здесь просто прямое вранье (с этого момента можно начинать считать сколько раз в этой статье будет употреблено слово вранье)! А тем, кто не знает/не помнит откуда пошла эта страшилка, добро пожаловать под спойлер.

Смотрим дальше текст вложения.

И снова вранье, которое заключается в том, что никакой льготной федеральной программы по разработке документации по защите ПДн не существует и никогда не существовало.

Кстати, в этом месте документа по идее должна быть гиперссылка на сайт, но ее нет. Но тогда, в 2018 году, он нашелся методом беглого гугления, сайт находился по адресу 152-фз.россерт.рф. Находился, т. к. сайт больше недоступен, Wayback Machine выдает что-то внятное только за 2019 год. А мы их анализировали и успели наделать скриншотов в 2018-м (судя по архивному отпечатку, в 2019 году текст сильно поменялся, но не суть), и там тоже много чего важного, что поможет нам в будущем сделать кое-какие выводы, давайте посмотрим.

Читатель, ты, возможно, не понимаешь, зачем я тебе показываю скриншоты уже неработающего сайта, но поверь, это важно для понимания полной картины в наши дни.

Итак, снова у нас тут Федеральная программа, которой не существует, главный орган по сертификации Россерт (а это тоже самое, что и Россертификация или другое? пока не понятно) и прочие громкие фразы типа Федеральная программа развития бизнеса в России. При аккредитации Росстандарта. Но самое главное номер телефона в правом верхнем углу совпадает с номером в приложении к письму, а значит, мы точно попали через поиск куда надо.

Дальше нас учат, как же соответствовать закону о персональных данных. Якобы нужно разработать пакет документов и получить на них сертификат соответствия ГОСТ. Стоп, чего? Про пакет документов, в общем-то, правда, да только вот кроме документов, чтобы соответствовать 152-ФЗ нужно еще и выполнить технические мероприятия, поэтому будем считать, что тут не вранье, а недоговорка. А вот про необходимость соответствия комплекта документов по защите персональных данных какому-либо ГОСТ это чистой воды вранье.

Далее нас ожидаемо пугают штрафами. То, что эти цифры не соответствуют действительности сейчас и не соответствовали тогда, мы уже разобрали, но обратите внимание что нижние и верхние границы штрафов не соответствуют таковым в спам-письме. Снова бородатая страшилка про закрытие организации на 90 суток. И лютейший бред про возможное лишение свободы руководителя на срок до 4 лет по 137 УК РФ за нарушение закона О персональных данных (эта статья о злонамеренном сборе и распространении данных о частной жизни физического лица с использованием служебного положения за уши конечно можно притянуть, но все же надо понимать, что такое деяние и отсутствие в организации необходимых документов по 152-ФЗ это совсем разные вещи).

Дальше нам предлагают скачать даже на тот момент сильно устаревшую версию 152-ФЗ. И, конечно же, классика мошенники предупреждают о мошенниках.

Но самое интересное ждало нас в конце сайта.

В разделе Лицензия и аккредитация собственно нет никакой лицензии (да неужели? нас опять обманывают?), зато есть свидетельство о регистрации системы добровольной сертификации Россертификация. Помните, в самом начале я говорил, что мы не понимаем что такое Россертификация и Россерт - теперь понятно, это СДС (система добровольной сертификации).

Что такое СДС? В соответствии с 21 статьей ФЗ О техническом регулировании любое юрлицо или ИП могут учредить такую систему сертификации, например орехов. Вы определяете параметры (вкус, форма, цвет) орехов, на которые вы будете выдавать сертификат и те, кто хотят сертифицировать свои орехи в вашей СДС (которую вы конечно же зарегистрировали в Федеральном агентстве по техническому регулированию и метрологии) заключают с вами договор, проводят необходимые испытания и получают или не получают сертификат.

Нужно еще отметить, что зарегистрировать ООО с приставкой Рос- ой как не просто. Есть целый список требований, чтобы это было возможно. Видимо, у СДС с этим все гораздо проще. Отмечаем так же, что свидетельство о регистрации СДС выдано ООО Единый центр сертификации. Реквизиты (ИНН, ОГРН) ООО с таким же названием фигурировали и в шапке спам-письма.

2020 год. Росконтроль

В 2020 году снова активизировалась похожая спам рассылка. В письме ожидаемо грозились штрафами за невыполнение требований по защите персональных данных, давались ссылки на пару проплаченных статей, и предлагалось пройти по ссылке, вбить ИНН своей организации и получить якобы вручную подготовленный отчет по выполнению вашей организацией требований закона О персональных данных. Пример такого отчета здесь. Но это уже было от лица некого Федерального центра по защите персональных данных СДС Росконтроль.

К счастью, мы с вами уже знаем, что такое СДС и префиксом Федеральный центр нам мозги не запудрить. Но вам ничего не напоминает? Опять СДС, опять в названии Рос-, опять попытка мимикрии под госорганизацию? У меня подозрение, что на манеже все те же закрались сразу. Но мы же не будем делать бездоказательных выводов, правда?

Давайте посмотрим, чем это письмо отличается от образца 2018 года.

Во-первых, теперь это не предписание, а отчет по результатам проверки. Теперь не Россертификация, а Росконтроль и явно указано, что это СДС. Ссылка на другой сайт -rkn.expert (он по сравнению с предыдущим ну совсем маленький и не интересный, поэтому даже подробно анализировать там нечего). Другой телефон. Другой адрес (хотя тоже Питер). Также обращаем внимание на URL сайта, попахивает мимикрией под официальный сайт РКН (rkn.gov.ru).

Установить связь СДС Россертификация и СДС Росконтроль не составляет особого труда. Просто лезем на сайт Росстандарта и ищем Росконтроль, находим одну запись и выясняем, что свидетельство, номер которого совпадает с номером в "отчете" выдано ООО Единый центр сертификации, ОГРН которого совпадает с ОГРН, фигурирующем в спам-письме от 2018 года. На этом, думаю, связь старого спама и нового можно считать установленной. Давайте же дальше смотреть новое письмо.

Кстати, обратите внимание, что свидетельство выдано на СДС Росконтроль и никакого префикса Федеральный центр чего-то там в реестре нет, поэтому Федеральный центр это чистая отсебятина, призванная запутать доверчивых граждан.

Давайте закончим с шапкой письма, ведь здесь самое важное отличие от спама 2018 года теперь здесь фигурирует персоналия, некий Келлерманн А. М. Вот это уже интересно!

Давайте проверим по реестру, не связан ли этот Келлерманн А. М. с нашими старыми знакомыми ООО Единый центр сертификации? Идем в любой каталог организаций и ищем по ИНН. Вот черт! Генеральный директор этой организации некий Катричко Александр Максимович, мимо!

Ладно, не унываем, смотрим дальше "отчет". Смысл там, в общем, такой: этот Росконтроль типа проверил организацию и выяснил, что ее нет в реестре операторов персональных данных. Из чего сделаны выводы:

• уровень нарушений высокий (они не имеют права делать такой вывод, так как, возможно, организация попадает под исключения, когда оператор может не подавать уведомление);

• вероятность проверки высокая (с чего это они взяли тоже абсолютно не понятно, но мы с вами уже предполагаем, что это манипуляция запугивания).

Дальше у меня глаз зацепился за этот блок:

А именно верхний правый буллет. Кто знает, что это за сертификация такая, которая уменьшает риск проведения проверки (кроме противозаконных)? Поделитесь, пожалуйста, в комментариях.

Ну и левый нижний буллет я, как специалист, не могу не прокомментировать. Здесь проблема в том, что подать за вас уведомление никто не имеет права, т. к. уведомление подается в бумажном виде с подписью руководителя и печатью организации (если есть). А вот помочь подготовить можно, но можно подготовиться и самостоятельно, прочитав нашу статью здесь.

В четвертом разделе нас пугают уже многомилионными штрафами. Вот как Гермиона штрафы измениласьись за лето два года!

Как вы догадались, тут тоже вранье. Такими штрафами наказывают за отказ хранить данные граждан РФ на территории РФ, так называемая статья против фейсбука и им подобных. Обычное ООО, которое хранит базы 1С у себя на локальном сервере таким санкциям уж точно не подвержено, но звучит-то страшно, правда? 6 миллионов! А чего тогда господин Келлерманн не ссылается на п. 9 статьи 13.11 КоАП РФ, там за повторное нарушение по п.8 штраф аж до 18 миллионов. Еще страшнее!

Кто-то здесь может возразить, что обычное ООО может попасть под эту статью, если будет хранить свою базу 1С на заграничном облаке. В принципе да, такое возможно, да вот только услуги, которые предлагает г-н Келлерманн (разработка пакета документов) при выявлении такого нарушения проверяющими не спасут.

Еще в этом же четвертом пункте "отчета" приводится список документов. В целом, список как список. Почему нет единого стандарта по составу комплекта документов можно узнать из нашей статьи, но меня смутил вот этот пункт:

Дело в том, что разработка документа Модель угроз безопасности являются частью лицензируемого ФСТЭК России вида работ проектирование систем в защищенном исполнении. Сами для себя вы можете разработать этот документ без лицензии, но если разрабатываете его как услугу, то необходимо получать лицензию ФСТЭК на проведение работ по технической защите конфиденциальной информации (ТЗКИ). ООО Единый центр сертификации такой лицензии не имеет, это легко проверить по реестру.

Ладно, долистываем это письмо до конца. Помните, я говорил про персоналию в этом письме? Ниже он подписывается уже более подробно, теперь мы знаем его имя и у нас есть его фото.

Обратите внимание на эволюцию спама - возможно с Россертификацией что-то пошло не так и в дело включился Росконтроль, а для повышения доверия это уже не обезличенное предписание, а отчет, подписанный конкретным лицом. Ну что ж, раз этот персонаж решил все же засветиться, считаю незазорным прогуглить его и покопаться в открытых данных с целью установить реальное ли это лицо вообще и может быть найдем еще какую интересную информацию.

Сначала из найденного я зашел на fl.ru. Фото другое, но rossertrf кричит нам, что это он. Там 6 фрилансеров ставят этому заказчику +, мол, молодец, платит вовремя и все такое. Видимо, там он заказывает сайты типа старого уже закрытого и rkn.expert . Ну, что ж, я надеюсь, что фрилансеры искренне не понимали, что помогают дурить людей.

А потом я зашел в его Instagram (профиль открыт) и тут началось. То, что это именно он, сомнений нет, там есть та же фотка, что и в "отчете" и фото с fl.ru тоже имеется. Бегло пролистав фотки с тачкой и котиком (котик классный, да), взгляд, конечно, же остановился на этой фотке и на посте под ней:

Ну, во-первых - Росконтроль. Обратите внимание на сайт на табличке (rkn.moscow) опять мимикрия под официальный сайт РКН (он просто редиректит на rkn.expert). Во-вторых, сам пост в стиле Вы все дураки и не лечитесь. Тут я не удержался и написал комментарий. Я, честно говоря, ни на что не надеялся, был уверен, что комментарий проигнорируют или удалят, но нет.

На что было получено 2 ответа и второй говорит сам за себя.

Кстати, да, Роскомнадзор действительно в курсе.

А еще в курсе другой Росконтроль, который СМИ.

Вместо заключения

Зачем это все нам (как компании) и зачем я писал всю эту статью (кроме того, что никто не любит мошенников и нужно их выводить на чистую воду)?

Дело в том, что когда наши добросовестные коллеги предлагают людям свои услуги, нам потом не пишут и не звонят с вопросами Нам позвонил лицензиат ФСТЭК, предлагает свои услуги по защите информации, подскажите, стоит ли с ними работать?. И совершенно другая картина, когда людей заваливает спамом от рос-гос-чего-то-там со словами предписание и штраф до 6 млн. рублей, вот тогда мы можем терять много драгоценного рабочего времени на такие консультации, за которые мы денег не берем.

Кто-то может сказать, что г-н Келлерманн правильно написал в комментарии, что у него все зарегистрировано и так далее, и называть его мошенником не правильно, но у нас регистрировать ООО и ИП могут и экстрасенсы с гадалками, а гомеопаты совершенно официально продают в аптеках сахар по цене золота.

В конце концов, мы установили, что Россертификация и Росконтроль это одна и та же лавочка, поэтому все их грехи можно суммировать, давайте подытожим, какие признаки мошенничества можно выделить:

• регистрация и использование СДС с приставкой Рос-, что вводит незадачливых пользователей в заблуждение, причем в случае с Россертификацией спамеры даже не добавляли СДС в начале, видимо потом им дали понять, что так делать нехорошо;

• грубая эксплуатация страха адресата манипулятивными методами: "вам выдано предписание", "вас оштрафуют", "к вам придет проверка". Напоминаю, что никаких предписаний эти жулики выдавать не имеют права;

• попытка замещения функций государственных органов с помощью несуществующих "Федеральных программ" и "Федеральных центров";

• притягивание за уши санкций для операторов персональных данных (штраф 6 миллионов, статья 137 УК РФ, закрытие организации на 90 суток), абсолютно не применимых или никак не связанных с услугами, предлагаемыми спамерами;

• фишинговые техники. Вряд ли рядовой пользователь помнит точно домен РКН, в крайнем случае, если он ходил когда-то на их сайт, может помнить, что это rkn."че-то там". Таким образом, использование доменов rkn.expert и тем более rkn.moscow призваны ввести пользователей в заблуждение;

• использование безаппеляционного "все организации должны подать уведомление об обработке персональных данных", хотя закон предполагает ряд исключений;

• безаппеляционное утверждение того, что комплект документов по защите персональных данных должен соответствовать каким-либо ГОСТ, что противоречит действующему законодательству;

• оказание услуг по разработке проектной документации на систему защиты информации (Модель угроз) без лицензии ФСТЭК России;

• заверение о проведении какой-то сертификации вашей организации (какой именно сертификации спамеры умалчивают), которая уменьшит риск проведения проверки, что не соответствует действительности (никаких индульгенций от проверок не существует);

• ну и вишенка на торте - пост и комментарий в Инстаграме причастного лица (я уж не знаю, один ли он работает или в составе группы). Пост о том, что люди не умеют читать документы, сайты, договора говорит о вполне сознательных и намеренных описанных выше манипуляциях.

Кто-то может сказать, что несведущие люди сами виноваты, что их обманывают, но это уже самый настоящий victim-blaming (насильник тоже не виноват, это девушка надела короткую юбку). В наше время невозможно быть специалистом во всем. Я, например, плохо разбираюсь в бухгалтерии и хорошо в защите персональных данных, а есть люди, у которых все наоборот и это не означает, что можно пудрить им голову.

Если у вас есть знакомые бухгалтеры, руководители небольших фирм (или даже больших) и другие лица, которым могла быть интересна эта статья, покажите им её.

Достаточно большое количество B2C-компаний сталкиваются с необходимостью обработки персональных данных и, следовательно, соответствия требованиям регуляторов. Вариантов много: можно найти подходящий ЦОД и разместиться в колокейшн или выбрать провайдера с необходимым облачным сервисом. Первый вариант дорог и долог, поэтому компании все чаще смотрят в сторону облачных сервисов для работы с ПДн.

Провайдеры же в качестве подтверждения соответствия требованиям регуляции демонстрируют на своих ресурсах два вида документов: аттестат или оценку эффективности. Сегодня вместе с Алексеем Афанасьевым ( #CloudMTS, ИТ-ГРАД), Дмитрием Пойгиным и Игорем Яковлевым (ООО НАЦ) разберемся, в чем отличия и какой вариант предпочтительнее и беспроблемнее.

Большинству коммерческих клиентов эти процедуры могут показаться близкими по своей сути и результату. Выбирая облачный IaaS-сервис, можно ли рассчитывать, что подтверждающие документы аттестат и оценка эффективности так же близки?

На наш экспертный взгляд, однозначный ответ: нет. Большинство клиентов, работая над приведением к соответствию своей информационной системы, подчас не видят большой разницы ни между этими документами, ни между процедурами, которые за ними стоят. Почему так происходит? Чтобы это понять, разберем особенности работы с ПДн и типы демонстрируемых провайдерами бумаг.

Важно: Выбор сервиса для размещения своей ИСПДн и отслеживание валидности предоставленных бумаг зона ответственности клиента, поскольку, где бы он ни размещал информационные системы, он остается оператором ПДн и несет ответственность за их защиту.

Специфика работы с ПДн в облаке

Когда компания строит собственную ИС для работы с персональными данными в облачных сервисах провайдера, она как оператор ПДн должна учитывать возможность сослаться на некий документ, подтверждающий корректность использования сервиса согласно требованиям регулятора. Как правило, такой документ может быть представлен в виде непосредственно оценки эффективности или аттестата.

Эти два типа документов можно рассмотреть на примере требований к изоляции ИСПДн от публичных сред, других ИС в облаке и интернета.

У регулятора существует конкретный перечень требований к изоляции ИСПДн. При этом достаточно большой набор сервисов со стороны провайдера не всегда имеет однозначное подтверждение такой изолированности.

В своих технических требованиях регулятор оперирует набором ОС, железа, подключением к интернету (сетям общего пользования) и другими. В свою очередь, провайдер может оперировать уровнями платформы, контейнерами или отдельными сервисами (базы данных, бэкапы и пр). Поскольку выбор сервиса для ИСПДн зона ответственности клиента, он должен убедиться, что решение соответствует требованиям регулятора. В том числе в части изоляции. Подтвердить это может как аттестат, так и оценка эффективности (ОЭ). Но есть нюанс.

• В аттестате фиксируется точное соответствие тому или иному уровню защищенности (УЗ) и классу защиты (К) с учетом всех требований ГОСТ, а ОЭ может лишь обозначать данное соответствие.

• Если сервисы провайдера аттестованы, разграничение зон ответственности можно, как правило, провести более четко.

• Аттестат соответствует определениям и категориям, которые использует регулятор. В отличие от оценки эффективности, где определения могут быть даны в более расплывчатых формулировках и не всегда полностью отражать требования регуляции.

Когда без аттестата не обойтись

Когда клиенту принципиально необходимо выбирать именно аттестованное решение?

• Если клиент планирует размещать в облаке ГИС. Оценка эффективности здесь не подойдет при прохождении процедуры аттестации самой информационной системы сослаться на ОЭ будет проблематично.

• Возможно, ИС клиента будет подключаться к ГИС. В этом случае при выборе сервиса стоит внимательно изучить требования владельца системы, к которой планируется подключение. Как правило, в них указывается обязательное наличие аттестации подключаемой ИС. А значит, при выборе облачных сервисов стоит обратить внимание именно на аттестованное решение.

Для обычного коммерческого клиента, не планирующего обмениваться информацией с ГИС и, соответственно, имеющего возможность не выполнять аттестацию своей ИС, ассортимент подходящих защищенных облаков значительно шире. В таком случае можно рассмотреть сервисы тех провайдеров, которые предоставляют оценку эффективности.

Оценка эффективности vs. аттестат

Итак, вы законопослушная компания, планирующая обрабатывать ПДн в облаке, и уже составили список кандидатов в провайдеры. Кто-то из них гордо продемонстрировал оценку эффективности, другие показали аттестованное решение.

Очевидно, что подтверждающая документация не единственный критерий выбора, ведь важно также сравнить цены, функционал, технические возможности. Однако документы стоит изучать далеко не в последнюю очередь, ведь даже самые полезные фичи сервиса могут быть перечеркнуты тем, что он банально не подойдет вам из-за несоответствия требованиям регулятора.

Как выбрать между аттестованным решением и сервисом с оценкой эффективности и не пожалеть о своем решении в будущем? Сравним оба документа.

Оценка эффективности

В первую очередь, необходимо понимать, что оценка эффективности не является документом по ГОСТу. Это документ, предполагающий оценку мер, которые были произведены для защиты ПДн, размещаемых в этой ИС.

Такую оценку владелец ИС вправе выполнить самостоятельно, не привлекая никого со стороны. Только от него зависит объем требований и набор проверяемых подсистем, а также сценарий проверки. В этом случае всю ответственность за процедуру несет сама компания. При необходимости оценки со стороны для проведения этой процедуры можно пригласить консалтера или же компанию-лицензиата ФСТЭК с лицензией, дающей право на проведение аттестационных испытаний выбор велик.

Говоря грубо любая компания может выбрать набор критериев безопасности и провести внутреннюю оценку своих систем на предмет соответствия этим критериям. Будет ли ее результат иметь юридическую силу в глазах регулятора? Едва ли. Важно ли для конечного заказчика наличие у провайдера проведенных оценок эффективности? Давайте разберемся.

Есть компании, которые принципиально не проводят строгую аттестацию. Для работы с ПДн они самостоятельно осуществляют некую оценку эффективности и говорят: Господа, мы решили не использовать сертифицированные средства для защиты гипервизора, потому что в нашей модели нарушителя нет реальных угроз на этом уровне. Сертифицированные средства стоят дорого, и, на наш взгляд, польза от них неочевидна.

Иными словами, провайдер может где-то использовать сертифицированные средства защиты, где-то обойтись творческим подходом и ссылкой на организационные меры защиты, а где-то признать невозможность использования сертифицированных средств защиты в связи с экономической неэффективностью.

Ситуация чем-то похожа на старую-добрую сказку.

Владелец ИС спрашивает:

Свет мой, зеркальце, скажи: я ль на свете самый облачный и защищенный?

Его собственное отражение отвечает:

Ты, конечно, спору нет. Вот тебе оценка эффективности. Твои клиенты будут рады;)) Аттестатом здесь и не пахнет, но в целом все надежно и утечь ничего не должно. Ну, по идее...

Соответственно, куда больше доверия вызывают оценки эффективности, произведенные сторонней компанией, а не самим провайдером. А еще лучше, если такая консалтинговая компания специализированная организация, имеющая право (на основании лицензии ФСТЭК) на проведение аттестационных испытаний. Очевидно, что такая лаборатория не захочет рисковать своей репутацией в глазах регулятора выдавая сомнительные ОЭ.

Важно понимать, что методика контроля в рамках оценки эффективности не регламентируется регулятором. Так как документ, по сути, составляется в свободной форме и его содержание не определяется ГОСТом, он может не включать рассмотрение каких-то требований безопасности, уровней угроз и других тонких моментов. Так что сослаться на эту бумагу так же уверенно, как на аттестат, будет невозможно.

К тому же, де-факто сервисы с оценкой эффективности это не тиражируемый продукт. Изначальная идея ОЭ упростить работу с ИСПДн коммерческим компаниям и дать им возможность проверить собственные системы на предмет соответствия требованиям регулятора, а не перепродать облачные сервисы как инфраструктурные решения для размещения сторонних ИС.

Еще одна потенциальная головная боль клиентов в связи с ОЭ на всем сроке сотрудничества с провайдером быть уверенными, что текущая реальная ситуация соответствует указанной в оценке. В отличие от аттестата, в ОЭ может быть не указан срок, в течение которого документ легитимен. Скорее, это подтверждение того, что на момент проведения все могло соответствовать описанным возможностям. Информационные решения с оценкой эффективности подвижны обновляются программно-аппаратные решения, средства защиты, сам сервис растет и развивается. Поэтому нужно быть готовым к тому, что провайдер мог что-то поменять в своей ИС и это привело к расхождению реальной ситуации с ОЭ. И не факт, что в лучшую сторону с позиции комплаенса.

Да, возможно, мы сгустили краски. Практика показывает, что далеко не все оценки эффективности это сомнительная филькина грамота. Помимо уже упомянутых выше ситуаций, когда подходящих процедур просто нет в природе, оценка эффективности может осуществляться в дополнение к требуемым регуляторами нормам.

Простой пример работа с собственными персональными данными, ИС с ПДн сотрудников компании. Далеко не все компании готовы тратить ресурсы на аттестацию таких систем и ограничиваются оценкой эффективности. Если по какой-то причине придет проверка от регулятора, а в ИС обнаружатся нарушения, будет время, порядка квартала, чтобы всё устранить согласно предписанию.

Однако подобную ИС, предназначенную для собственных нужд компании, не предоставляют как сервис и не перепродают третьим лицам.

Аттестат

Чем же отличается аттестат?

Аттестат это документ, который выполнен по ГОСТ и признается регуляторами. Аттестация решений не может быть проведена провайдером лично, только если он не аттестующая лаборатория, имеющая соответствующую лицензию ФСТЭК. Этим должна заниматься уполномоченная компания-лицензиат, имеющая право на проведение аттестационных испытаний.

При аттестации проверяется не только техническая часть аттестуемого решения, но и организационная. Оценивается весь объем работ по защите информации в данной организации относительно рассматриваемой информационной системы. Фиксируется состав технических средств, ПО и возможных изменений в них.

Наличие у провайдера аттестата гарантирует некую неизменность условий функционирования системы, оказывающих влияние на информационную безопасность, в течение всего периода его действия. Иными словами, для конечного клиента не имеет значения, когда именно был аттестован облачный сервис, вчера или полгода назад. Если аттестат действителен, значит, требования регуляторов выполняются и решение соответствует требованиям безопасности. Так, например, облачные сервисы, имеющие аттестаты УЗ-1 и К1, проходят контрольные мероприятия ежегодно согласно требованиям регулятора.

Если так случится, что в аттестованном сервисе провайдера обнаружится уязвимость и регулятор обратит на нее внимание, то претензий к клиенту не возникнет. Ответственность несут, как мы уже писали выше, лаборатория, выдавшая аттестат, и сам провайдер.

С точки зрения законодательства, аттестация может быть добровольной и обязательной в случаях, определенных законодательством РФ. К примеру, в обязательном порядке нужно аттестовать любые информационные системы, являющиеся государственными. Добровольная аттестация проводится во всех остальных случаях, если компания хочет подтвердить соответствие своего решения существующим требованиям. Если вы планируете когда-либо аттестовать свою ИСПДн, стоит смотреть именно на аттестованные решения. В будущем вы сможете сослаться на подтверждающий документ, что в значительной мере упростит проведение аттестационных работ.

Подведем итоги:

Итак, что дает наличие аттестата клиенту:

• возможность сослаться на него при аттестации собственной ИСПДн и при подключении к ГИС;

• гарантию неизменности системы на период действия аттестата;

• отсутствие вопросов при проверке со стороны регулятора.

Изучаем аттестат

Предположим, вы сделали выбор в пользу аттестованного решения. Разобраться в аттестате, понять описанные в нем детали и применить его это уже зона ответственности клиента.

Соответственно, возникает вопрос: на что стоит обращать внимание конечным клиентам? Самый простой и резонный ответ позволяет ли имеющийся у провайдера аттестат обеспечить требуемый уровень защищенности и/или класс защиты.

Помимо этого, в аттестате содержится информация о фактических адресах размещения технических средств. Есть смысл сверить адреса лицензий и убедиться, что аттестат действителен для этой локации.

Важен и срок действия аттестата. Он может быть и ограниченным (обычно 3 года), и бессрочным. К примеру, при аттестации в рамках 17-го приказа ФСТЭК РФ (от 11.02.2013) аттестат действует в течение всего периода эксплуатации системы.

Облачный провайдер, как правило, является лицензиатом ФСТЭК и ФСБ. Соответственно, предлагая рынку аттестованные сервисные решения, провайдер не захочет рисковать ни своей репутацией, ни доверием со стороны регуляторов.

Если сервисное решение все еще вызывает сомнения, имеет смысл через официальные ресурсы регулятора убедиться в подлинности аттестата. Требовать у провайдера внутренние документы (такие как регламенты, протоколы испытаний) вряд ли стоит. Многие из них, например, методики аттестационных испытаний, являются конфиденциальными и не могут быть предоставлены вам как клиенту.

Однако для ряда сервисов часто бывает важно получить дополнительные сведения из модели угроз и модели нарушителя, разграничения зон ответственности. Для этого можно обратиться к провайдеру и при необходимости получить типовые выписки из нужных документов.

С 01 марта 2021 года вступают в силу новые правила обработки персональных данных, сделанных доступными неопределенному кругу третьих лиц общедоступных персональных данных.

Поправки введенызаконом N 519-ФЗ от 30.12.2020и существенным образом меняют порядок использования персональных данных, находящихся в общем доступе, и в первую очередь, размещенных на сайтах в сети Интернет. В большей части поправки важны для сайтов по типу агрегаторов и социальных сетей. Однако и корпоративным сайтам с отзывами и контактными данными сотрудников тоже досталось.

Как всегда, смотрите подробности под катом. </cut>

Из закона исключается понятие персональные данные, сделанные общедоступными субъектом персональных данных, используемое в качестве правового основания обработки таких ПДн любыми лицами (пп.10 п.1 ст.6 152-ФЗ). Взамен вводится понятие персональные данные, разрешенные субъектом персональных данных для распространения.

Принципиальное отличие этих понятий в режиме использования персональных данных, доступ к которым предоставляется третьим лицам.Новые условия предусматривают получение отдельного согласия субъекта ПДн на их распространение и обработку третьими лицами, тогда как ранее такое согласие предполагалось (достаточно было доказать факт их публикации субъектом ПДн или с его разрешения).

Как следствие, с 01 марта 2021 года нельзя собирать и использовать опубликованные в Интернете сведения об отдельном лице или массово извлекать и осуществлять последующее использование персональных данных с сайтов и прочих ИСПДн в автоматическом режиме (посредством парсинга), если не получено согласие каждого субъекта на такие действия. Ссылка на то, что сведения общедоступны перестает работать.

Требуется ли владельцам сайтов согласие на обработку публикуемых персональных данных

Нужно понимать, что отдельное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, требуется только для случаев, когда нет иных законных оснований для их обработки.

Обычно владельцы сайтов осуществляют сбор и последующее использование персональных данных пользователей в целях заключения или исполнения договора. Это самостоятельное основание для обработки ПДн, не требующее отдельного согласия (пп.5 п.1 ст.6 ФЗ 152). В таком случае достаточно сформулировать условия договора с пользователем в общем виде вПользовательском соглашении, а порядок обработки ПДн включить вПолитику конфиденциальности.

Если сайт позволяет публиковать персональные данные в общем доступе, то важно обозначить, что пользователь раскрывает такие данные неопределенному кругу лиц по собственной инициативе (п.2 ст.10.1 ФЗ 152 в новой редакции). Для предоставления доступа к таким сведениям третьим лицам администрации не требуется отдельное согласие субъекта, поскольку у нее есть действующий договор. Однако третьим лицам потребуется подтвердить наличие законных оснований для копирования материалов с сайта и их последующего использования, поскольку прямого договора с субъектом у них нет.

Поэтому примем за общее правило, что согласие на обработку ПДн требуется при отсутствии между сторонами сделки. В законе есть и другие основания для обработки ПДн без согласия субъекта (например, такое право дано журналистами в целях их профессиональной деятельности или гос. органам - для осуществления возложенных на них функций и т.д.). Однако это частные случаи, которые не касаются оборота данных в гражданских отношениях.

Возьмем в качестве наглядного примера вариант сайта, на котором персональные данные публикуются администрацией. В основном, это корпоративные сайты с фотографиями сотрудников компании, их именами, телефонами и электронными адресами, размещаемыми в имиджевых или сервисных целях. У администрации отсутствует договор с сотрудником, предусматривающий обработку его ПДн указанным способом. Поэтому требуется получить отдельное согласие на предоставление доступа и распространение ПДн сотрудника на сайте компании.

Таким образом, изменения направлены на пресечение бесконтрольного использования персональных данных неопределенным кругом лиц. Субъекту вернули контроль над его персональными данными. Теперь он волен давать согласие на обработку ПДн неопределенным кругом лиц или конкретным лицам, вводить ограничения и условия использования отдельных персональных данных, опубликованных в общем доступе.

Ограничения и условия использования персональных данных

Наибольшие затруднения с правовой и технической стороны вызывают изменения 152-ФЗ в части возможности установления субъектом персональных данных в согласии ограничений и условий их использования.

Оператор ПДн обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения (п.1 ст.10.1 ФЗ 152).

Если в согласии прямо не указано, что субъект не установил запретов и условия их использовании или не определил категории и перечень ПДн, к которым такие запреты и условия относятся, оператор ПДн вправе осуществлять их обработку без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц (п.5 ст.10.1 ФЗ 152).

На основании п.9 новой статьи 10.1 ФЗ 152, в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

При этом оператор обязан обеспечить субъекту возможность установления запретов и условий использования персональных данных. Отказ оператора в установлении субъектом персональных данных предусмотренных выше запретов и условий, не допускается.

Более того оператор, оператор обязан в срок не позднее 3 рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения (п.10 ст.10.1 ФЗ 152).

Иными словами, для обеспечения возможности использования третьими лицами опубликованных в общем доступе персональных данных, помимо ознакомления с ними (получения доступа), владелец сайта (оператор ИСПДн) обязан получить согласие субъекта на их распространение. Одновременно оператор должен обеспечить возможность установления запретов и условий использования отдельных категорий и перечня ПДн и опубликовать данную информацию.

Представьте себе сайт для поиска работы, на котором публикуются резюме соискателей, или доску объявлений, где есть контактные данные пользователей. Как обеспечить с 1 марта возможность копирования с них персональной информации пользователей, размещенной в общем доступе?

Выше мы рассмотрели 2 варианта правовых оснований для обработки ПДн: по договору и на основании согласия. Что необходимо сделать в каждом из указанных случаев?

При наличии договора с субъектом ПДн согласие необходимо получать для обеспечения возможности копирования и последующего использования персональных данных неопределенным кругом лиц. Если такой задачи перед администрацией сайта не стоит, можно ограничиться включением в соглашение (договор) с пользователем и политику конфиденциальности, условий о возможности из предоставления заранее определенному кругу лиц (например, агентствам по подбору персонала или работодателям в примере с сайтами поиска работы).

Если владелец сайта по каким-то причинам намерен распространять ПДн пользователей заранее неопределенному кругу лиц (например, любым интернет-пользователям), потребуется выполнить план мероприятий по ограничению копирования третьими лицами персональных данных пользователей до получения тельных согласий, обеспечению возможности установления различных запретов и условий использования таких данных и публикации таких сведений совместно с такими данными.

Полагаем, что операторов, желающих делиться данными со всеми, найдется не много. Поэтому поправки в ФЗ 152 в целом можно воспринимать в положительном ключе для большинства агрегаторов, поскольку они явным образом запрещают парсинг. Для корпоративных сайтов новшества не несут ничего хорошего, т.к. потребуется получать отдельные согласия со всех субъектов, персональные данные которых у них публикуются