Выход постановления Правительства Российской Федерации за номером 1119, как бы кто к нему не относился, стал тем водоразделом, который отделил одну эпоху в области защиты персональных данных от другой.
В этом, наверное, и заключается его основной недостаток – при всей значимости этого события ничего эпохального в тексте самого постановления нет. Впрочем, это вполне закономерно – регуляторами ведется работа по развитию действующего законодательства в области ПДн, работа долгая и кропотливая, а потому любые перекосы в ту или иную сторону – будут лишь во вред. Каковы были ожидания у экспертов по ИБ, какой теперь будет жизнь оператора ПДн, а главное – чего стоит ждать от приказов ФСТЭК России и ФСБ России? Эти вопросы мы задали самому настоящему корифею в области информационной безопасности, заместителю генерального директора по развитию компании ЭЛВИС-ПЛЮС Вихореву Сергею Викторовичу.
- Чем была вызвана потребность менять постановление Правительства Российской Федерации № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»?
- Выход Постановления Правительства Российской Федерации, определяющего требования к защите ПДн и уровни защищенности ИСПДн – факт ожидаемый и предсказуемый. Почему? Формально потому, что так требует новая редакция закона, а реально потому, что изменились подходы к определению требований по защите персональных данных. С выходом новой редакции закона «О персональных данных» ряд требований по их защите переместился с уровня подзаконных актов на более высокий уровень, и требования приобрели норму закона, а Постановление Правительства Российской Федерации № 781 этого не учитывало. Новые требования, установленные Правительством, полностью изменили парадигму критериев выбора уровня защищенности ПДн. Выделяются четыре основных критерия: тип угроз, содержание обрабатываемых ПДн, объем обрабатываемых ПДн, принадлежность ПДн к сотрудникам оператора. Насколько правильный такой подход к выбору уровня и верны ли эти критерии – покажет практика, которая, как известно, критерий истины, но логика в этом есть. Поэтому-то и потребовалось изменить старый подход.
- Насколько постановление № 1119 оправдало ожидания экспертного сообщества?
- Сначала давайте посмотрим, какие ожидания были у экспертного сообщества. Полемики по новой редакции закона было немало: его и ругали, и хвалили. Одни говорили, что этот закон не учитывает интересы субъекта, другие говорили, что требования к операторам очень жесткие, третьи сокрушались по поводу необходимости обязательной процедуры оценки соответствия средств защиты. В общем, ожидания, конечно, были, и весьма разнородны. Я бы обобщенно сформулировал их так. Эксперты ожидали следующих положительных моментов, а именно того, что: (1) новые требования будут учитывать интересы субъектов и поэтому напрямую зависеть от возможного вреда, причиняемого субъекту, как того требует закон; (2) будут послабления операторам, и им позволят самостоятельно устанавливать требования; (3) отменят обязательную оценку соответствия средств защиты информации; (4) появится четкая и ясная процедура определения требований к защите ПДн; (5) новые требования унаследуют существующие подходы, что упростит переход на новые документы. В то же время многие эксперты ожидали и отрицательных моментов, того, что новые требования: (6) еще больше закрутят гайки безопасности, (7) усилят влияние регуляторов.
Вообще-то, все ждали чего-то другого. Можно сказать, что не все ожидания воплотились в жизнь, как положительные, так и отрицательные. Сначала о том, что не сбылось. Закручивания гаек не произошло. Если проводить сравнение с предыдущими требованиями, то видно, что в новом документе больше половины требований исчезло, правда, появились и новые требования, но это не обязательно ужесточение. Например, появилась обязанность осуществлять контроль выполнения требований по защите ПДн, но этот контроль отдан на откуп самим операторам. Разве можно считать, что гайки закрутили? Не дали операторам и самостоятельно устанавливать требования по защите, - эта прерогатива осталась за регуляторами. Но это, в принципе, и ожидаемо: если даже обязательные требования операторы пытаются не выполнять, то отдав им возможность устанавливать требования, можно вообще забыть о защите ПДн. Не отменили обязательность оценки соответствия средств защиты. И это понятно: во-первых, такая оценка прописана непосредственно в законе, а во-вторых, это хоть какой-то барьер от недобросовестных производителей (хорошо это или плохо – споры не прекращаются). Правда, надо сказать, что яростные обсуждения (или даже осуждения) этого документа в экспертном сообществе еще на стадии проекта сыграли злую шутку…
Интервью читайте в № 11 (52) журнала «Персональные данные».
Внимание: материал находится в открытом доступе.
