04.04.2011

Некоторые наиболее распространенные ошибки и вопросы при создании системы защиты ПДн своими силами

Safroshkin_O

Автор: Сафрошкин Олег

Должность: менеджер по развитию бизнеса компании «Информзащита»

В рамках данной статьи  я постараюсь кратко разобрать основные ошибки, допускаемые в процессе создания системы защиты ИСПДн, которые мне встречались в рамках проектной деятельности:

  1. Не полное  выявление ИСПДн. Зачастую происходит от банального непонимания, что такое персональные данные. Несмотря на достаточно четкое определение понятия «персональные данные», приведенное в Федеральном законе  152-ФЗ «О персональных данных», у многих почему-то сложилось мнение, что, цитирую, «Фамилия, имя и отчество – это не персональные данные». В связи с этим заблуждением, из рассматриваемого перечня ИСПДн уплывают такие ИСПДн, как система контроля и управления доступом (при ведении персонифицированного пропускного режима), LDAP  – каталог (например, AD, в случае, если в ней хранятся ФИО пользователей) и т.д.
  2. «Чрезмерная классификация».  При выполнении классификации ИСПДн, классификация производится «как есть», без попыток разобраться – а все ли обрабатываемые в ИСПДн персональные данные действительно необходимы? В некоторых случаях экономически эффективней удалить часть персональных данных, которые не являются необходимыми в рамках бизнес-процесса, автоматизируемого ИСПДн, и тем самым, понизить  класс системы и требования к ее защите.
  3. Некорректное определение границ ИСПДн.  При создании системы защиты ИСПДн не проводится или проводится не корректно определение границ ИСПДн. В результате, тратятся время и средства на защиту большего числа СВТ, чем могло бы быть в результате грамотного определения границ ИСПДн. Приведу короткий пример – в Организации есть 3 АРМ бухгалтеров, работающих с ИСПДн Бухгалтерия, 2 АРМ работников ОК, занимающихся кадровым делопроизводством и еще 40 АРМ других работников Организации, по своим функциональным обязанностям не работающими с указанными ИСПДн. В данном случае, защищать всю сеть организации по требованиям, предъявляемым к защите ИСПДн экономически не эффективно. Гораздо эффективнее выделить указанные ИСПДн (провести границу) и защищать непосредственно их.
  4. «Нужна ли оператору лицензия»? Однозначного ответа на данный вопрос дать не получается.  Бытует мнение, что при создании системы  защиты ИСПДн, лицензия на ТЗКИ (в случае если защита производится без использования средств криптографической защиты информации) не нужна, т.к. защита информации  производится только для собственных нужд. Между тем,  согласно п.1 ст. 49 Гражданского кодекса РФ, отдельными видами деятельности, перечень которых определяется законом, юридическое лицо может заниматься только на основании специального разрешения (лицензии). При этом, согласно п.11. ч.1 ст. 17 Федерального закона от 08.08.2001 №128-ФЗ «О лицензировании отдельных видов деятельности»,  деятельность по технической защите конфиденциальной информации входит в данный перечень. Так как, согласно п.1 Указа Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера», персональные данные относятся к сведениям конфиденциального характера, то если смотреть строго по букве закона, то лицензия на ТЗКИ Оператору нужна.

Того же  мнения придерживается и регулятор (ФСТЭК). В своем письме №240/2/2520 от 18 июня 2010г. первый заместитель директора ФСТЭК  В. Селин  подобным образом ответил на обращение заместителя министра  здравоохранения и социального развития  РФ В.Белову по поводу необходимости получения лицензии на деятельность по технической защите, в случае, если технические мероприятия по защите персональных данных осуществляются для собственных нужд. Мнение регулятора по этому вопросу вполне понятно. Но что же делать оператору?

К сожалению, судебная практика по данному вопросу на момент написания этой статьи отсутствует. При изучении судебной практики по подобным вопросам, выяснилось, следующее:

Неполучение лицензии на деятельность, подлежащую обязательному лицензированию в соответствии с Федеральным законом от 08.08.2001 №128-ФЗ «О лицензировании отдельных видов деятельности», классифицируется, как административное правонарушение по одной из двух статей КоАП РФ – статье 14.1, «Осуществление предпринимательской деятельности без государственной регистрации или без специального разрешения (лицензии)» или статье 19.20 «Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии)». При этом, согласно  п.3 ст. 23.1 КоАП, дела об административных правонарушениях, предусмотренных статьей 14.1 рассматриваются судьями арбитражного суда, а дела об административных правонарушениях, предусмотренных статьей 19.20 – мировыми судьями (судьями общей юрисдикции).

В судебной практике суда высшей инстанции общей юрисдикции (Верховного Суда РФ) четко прослеживается, что неполучение лицензии на деятельность подлежащую лицензированию, и не связанную с получением прибыли (т.е. не предпринимательскую деятельность), трактуется как правонарушение,  классифицирующееся по ч.1 ст.19.20 КоАП РФ (постановление ВС РФ от 01.07.2010 № 89-АД10-6, постановление ВС РФ от 10.04.2009г. №25-АД09-01)

Вместе с тем, при попытке трактовать неполучение лицензии на деятельность, подлежащую лицензированию, как правонарушение, классифицируемое по ст.14.1 КоАП РФ, судебная практика арбитражных судов отражает 2 диаметрально противоположные точки зрения. Согласно одной из них,  получение лицензии на деятельность, подлежащую лицензированию, обязательно для тех лиц, для которых эта деятельность является основной. В случае же,  если деятельность не является основной (рассматривается, как элемент основной деятельности), то получение лицензии на нее не требуется. Такая позиция, содержится, например, в постановлении ФАС  СЗО № А05-5724/2007г, постановлении Президиума ВАС РФ № 896/06 от 19 июня 2006г, постановлении ФАС МР от 17.03.2010г. № КА-А40/2021-10. Согласно другой точке зрения, получение лицензий необходимо и на деятельность, не являющуюся основной для юридического лица, поскольку федеральным законом № 08.08.2001 №128-ФЗ «О лицензировании отдельных видов деятельности» не указано на необходимость получения лицензии только лицами, осуществляющими данные  виды деятельности в качестве основных, а отсутствие или наличие  прибыли от данной деятельности не влияет на квалификацию вменяемого административного правонарушения. Такая позиция содержится, в частности, в постановлении ФАС ВВО от 28.02.2008 по делу №  А17-436а/2006, постановлении ФАС ЦО от 11.10.2007г. по делу № А14-4809/2007/94/10, постановления 3 ААС от 13.09.2010г и ФАС ВСО от 22.12.2010г. по делу №А74-1931/2010.

Представляет так же интерес постановление ФАС СКО от 07.09.2010г. по делу № А20-367/2010, в котором суд, основываясь на определении предпринимательской деятельности,  счел неприменимым квалификацию правонарушения по статье 14.1 КоАП к некоммерческой организации, не занимающейся получением прибыли и переквалифицировал правонарушение по ст.19.20 КоАП РФ.

В итоге, анализ судебной практики показывает, что  однозначного ответа на вопрос «нужно ли получать лицензию» на настоящий момент нет, и вопрос получения/неполучения лицензии на ТЗКИ Оператором во многом превращается в вопрос управления рисками. В условиях подобной неопределенности,  у Оператора есть 2 выхода:

  1.  Принять риски получения претензий со стороны  органов государственного контроля и надзора, оказаться от получения лицензий на ТЗКИ и силами собственного юридического департамента или привлеченных юристов отставать свою позицию в суде.
  2. Снизить данные риски путем получения лицензии на ТЗКИ или путем передачи построения и сопровождения собственной системы защиты конфиденциальной информации на аутсорсинг специализированной организации – лицензиату.