Критиковать любой документ, конечно же, проще, чем его создавать. Тем не менее хочется поблагодарить автора, внимательно изучившего новый ГОСТ Р 59407-2021 и открыто высказавшего своё достаточно компетентное мнение.
Удивляет только то, что текст статьи С. В. Вихорева вполне мог бы быть выслан ранее в виде замечаний, десятки которых авторы обработали перед разработкой окончательной редакции по окончании публичного обсуждения проекта стандарта.
При написании международных стандартов используются отличные от отечественных ГОСТ 1.7 и ГОСТ 1.8 правила. Поскольку в ТЗ на разработку данного стандарта стоял статус IDT (идентичный), перевод не должен отличаться от оригинала. Решение о переводе стандарта из IDT в NEQ было принято уже в процессе его сдачи. Отсюда множество «тривиальных деклараций» и «обилие повторов», которые при окончательном редактировании (уже для NEQ) в максимально сжатые сроки не удалось убрать полностью.
После такого своеобразного введения дадим пояснения о месте нового стандарта в системе национальных стандартов ГОСТ Р.
ЗАЧЕМ НУЖНЫ ТАКИЕ СТАНДАРТЫ?
Этот вопрос мы слышим часто и сами достаточно часто задаём при экспертизе многих проектов стандартов. Место «переводных» стандартов многократно обсуждалось представителями разных стран в ИСО, а также в отечественных технических комитетах, где состоим мы. Обобщая результаты дискуссий, можно сделать вывод, что они должны носить не обязательный и даже не рекомендательный, а скорее информационный характер. Простыми словами, читатель такого стандарта может познакомиться с тем, как решаются поставленные типовые задачи на международном уровне.
Теперь о месте и роли рассматриваемого стандарта. Из действующей нормативной базы ФСТЭК России и ФСБ России по защите ПДн подавляющее большинство документов составляют требования, относящиеся к мерам защиты, реализуемым техническими средствами. Имеются ли документы, являющиеся рекомендациями по построению систем защиты ИСПДн? – не припоминается. Рассматриваемый стандарт является первой (может, и не во всём удачной) попыткой разработки рекомендаций по базовой архитектуре защиты ПДн. Встаёт вопрос, что лучше: полное отсутствие идеологических и методологических рекомендаций или наличие выработанной мировым сообществом экспертов основы, на которой можно построить систему защиты? Наверное, ответ очевиден.
ОТВЕТЫ НА ПРЕТЕНЗИИ
Теперь перейдём к высказанным С. В. Вихоревым претензиям. По сути, их всего две. Основной претензией является несоответствие стандарта нашей нормативно-правовой базе. Ответ простой: кто сказал, что каждый «переводной» стандарт должен ей соответствовать? Зарубежные авторы основного текста не знают, да и не обязаны знать нормативные акты различных стран. При срочной перелицовке текста в неэквивалентный нашей главной задачей было добиться, чтобы он не противоречил нашим законам и основным подзаконным актам. На мой взгляд, в целом с этой задачей мы справились.
Вторая претензия касается наличия трёх разных ИСПДн, между которыми, по утверждению С. В. Вихорева, «размывается ответственность». Вторым утверждением является то, что наличие ИСПДн субъекта «противоречит фабуле закона о персональных данных», это высказывание я бы отнёс к личной трактовке автора этой цитаты положений 152-ФЗ.Начнём со второго тезиса. Замечу, что у многих в домашнем компьютере хранятся сканы основных документов. Является ли этот компьютер ИСПДн? Скорее всего, формально является. Чаще всего данные не обрабатываются, а всего лишь хранятся. Противоречит ли это положениям 152-ФЗ? Укажите, где и в какой степени. По моим понятиям, в 152-ФЗ нет запрета на то, что владелец (субъект) делает со своими персональными данными (ПДн). Аналогом является наличие автомобиля. Хочешь — езди на нём аккуратно, хочешь — врежься в первый попавшийся столб, ты владелец.
А теперь рассмотрим всю претензию. Если ты сам собираешь и хранишь в электронном виде свои ПДн, то согласно статье 23 Конституции РФ волен с ними делать что хочешь, в том числе защищать их так, как считаешь нужным. Никакой закон это не запрещает и не регламентирует. Но если ты добровольно передаёшь свои данные оператору, ты должен быть уверен в том, что оператор сделает всё возможное для их защиты. Как у нас, так и на Западе за это отвечает тот, кто собирает ПДн. А вот дальше в нашем отечестве имеются коренные различия в подходах с международными рекомендациями.
ДВА ПОДХОДА К ЗАЩИТЕ ПДН
К сожалению, в нашей стране для ПДн чаще применяется так называемая бумажная защита, а сами данные распространяются со скоростью развития интернета и множества недобросовестных фирм, использующих ПДн платёжеспособного населения для рекламы, директ-мейлов и различных способов выманивания денег. Существующие мизерные штрафы для чиновников за утечки ПДн можно повысить ещё в два раза (как это уже дважды было), а потом и ещё в два раза — это не решит проблему.
Для сравнения, в большинстве стран ЕС нормативная база приведена в соответствие с GDPR (General Data Protection Regulation – общий регламент защиты [персональных] данных), и все сборщики персональных данных (по-нашему операторы) отвечают за утечку ПДн в размере до 4% годового оборота компании, при этом годовой оборот тщательно оценивается с учётом бизнеса в других странах. При этом в ЕС нет такой развитой нормативной базы, как у нас, но оператор регулярно и аккуратно оценивает риски и сам принимает решение, какие меры и средства защиты он будет использовать.
В последние годы всё чаще для защиты баз данных начинает применяться шифрование. И это является мировой тенденцией, на которую мы также пока не реагируем. Также как на то, что, например, такое модное в России явление, как идентификация личности по её биологическим характеристикам, впрямую запрещено пунктом 1 статьи 9 GDPR. Давайте приведём её полностью: «Запрещена обработка таких персональных данных, которые раскрывают расовую или этническую принадлежность, политические взгляды, религиозные убеждения или философские воззрения, членство в профсоюзе, также запрещена обработка генетических данных, биометрических данных для проведения уникальной идентификации физического лица, данных о здоровье, половой жизни или сексуальной ориентации физического лица. Государства — члены ЕС могут сохранять или вводить дополнительные условия, в том числе ограничения, в отношении обработки генетических данных, биометрических данных или данных о здоровье».
Здесь есть о чём поразмышлять. Может, нам пора подумать о назревших изменениях в 152-ФЗ и ряд смежных законов? Я говорю не о гармонизации с европейским регламентом, а об изменении подхода к защите наших персональных данных, ведь сейчас собираются данные о практически всём трудоспособном населении…
Отсутствие судебной практики и наличие в интернете уже сегодня почти исчерпывающей информации о подавляющем большинстве работающих граждан, к сожалению, объективно говорят о том, что 152-ФЗ не работает и подход надо менять. Нужен ли подвергшийся неконструктивной критике стандарт? Да, нужен. Хорошо «вылизанный» или не совсем доработанный, но, как и многие другие созданные мировым сообществом документы, он может помочь сформировать новый подход к защите персональных данных, как наших, так и наших детей.
Из двадцати (!) стандартов ИСО по защите персональных данных у нас сейчас переведён и действует только один (ГОСТ Р ИСО/МЭК 29100-2011), и вот появился второй (ГОСТ Р 59407-2021), об остальных восемнадцати вообще мало кто знает, а ведь при разработке нового подхода к защите персональных данных нам придётся на что-то опираться, при этом обычно мировой опыт учитывается в первую очередь.
.jpg)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.jpg)