С выходом постановления правительства №1119 в 2012 г. и приказов ФСТЭК №17 и №21 в 2013 г. стало, наконец, ясно, как именно нужно защищать персональные данные. По своему содержанию приказы №17 и №21 во многом повторяют требования законодательства других стран, например, NIST SP 800-53 (rev 4 04-2013) "Security and Privacy Controls for Federal Information Systems and Organizations» в США. Появление документов, которые регламентируют защиту ПДн, безусловно, позитивный шаг.

«С нашей точки зрения, существующие редакции нормативно-правовых документов в области персональных данных предоставляют достаточно гибкий инструмент для эффективной защиты от возможных угроз безопасности ПДн. Их дальнейшее изменение может только усложнить жизнь тем организациям, которые уже привели свои информационные системы в соответствие требованиям по защите персональных данных», – считает Виктор Сердюк, CEO компании «ДиалогНаука».

Сергей Вихорев, заместитель генерального директора по развитию «Элвис-Плюс», согласен, что нововведения не нужны: «Бедный закон о Персональных данных за 10 лет уже претерпел много изменений. Сейчас к сентябрю готовятся новые поправки. Мы все пытаемся что-то улучшить. А не проще ли начать исполнять сам закон? Не зря же у юристов есть принцип: «Dura lex, sed lex» (закон суров, но это закон). «Давайте попробуем жить по закону», – предлагает эксперт.

Требования регулятора избыточны?

С другой стороны, надо признать, что в огромном количестве нормативных актов и требований в области ПДн подчас сложно разобраться даже специалисту. Требования регулятора насчитывают более ста мер и мероприятий, хотя и предусмотрена возможность сокращать итоговый перечень мер исходя из актуальных угроз, «невозможности технической реализации отдельных выбранных мер» и «с учетом экономической целесообразности».

«Большой объем документов отпугивает многих специалистов по информационной безопасности», – говорит ведущий эксперт по информационной безопасности InfoWatch Андрей Прозоров. По его словам, сложность состоит в том, что приказы содержат максимальный набор мер, который будет явно избыточным, например, для небольших медицинских учреждений. «Изменить ситуацию бы могло наличие перечня первоочередных мероприятий», – полагает специалист. Он предлагает выработать дополнительные рекомендации с шаблонами документов и моделью угроз типовой МИС среднестатистического ЛПУ. Ранее подобный документ уже существовал – модель типовых угроз для типового ЛПУ, выпущенная Минздравом, но после выхода ПП №1119 этот документ утратил актуальность.

Безопасность или пустые требования?

Применение законов на практике и проверки регулятора также неоднозначно воспринимаются в отрасли. Есть мнение, что во главу угла становится не сама безопасность, а соответствие мер по защите персональных данных тем, которые определены в стандарте.

«Система государственного контроля и надзора нацелена на проверку исполнения нормативных требований, а не на полезность их применения с точки зрения защиты интересов субъекта ПДн, – комментирует Елена Козлова, руководитель направления Compliance центра информационной безопасности компании «Инфосистемы Джет». – То же самое можно сказать и про санкции. К примеру, наказывают за неправильный порядок обработки ПДн (нет каких-либо организационно-распорядительных документов), а ведь он не повышает безопасность ПДн напрямую. И даже при наличии полного комплекта документов, регламентирующих обработку ПДн, уволившийся сотрудник может унести с собой клиентскую базу. А между тем наличия подсистемы защиты от утечек информации российское законодательство по защите ПДн не предусматривает».

Сходного мнения придерживается Андрей Прозоров: «Регулирующие органы проверяют скорее выполнение формальных требований, а не наличие процессов управления и обеспечения ИБ и защищенность данных. Организациям в таком случае приходиться строить «потемкинские деревни» и «бумажную безопасность», а не совершенствовать систему защиты. Это неправильно в долгосрочной перспективе».

Не все разделяют эту точку зрения. Оппоненты считают, что на сегодняшний день нормативные документы позволяют построить систему, которая не только соответствует требованиям закона, но и обеспечивает реальную защиту. Проблема во взаимоотношениях с регулятором, по их мнению, кроется в головах представителей операторов ПДн, которые пытаются ограничиться формальным выполнением правил.

«К сожалению, некоторые хотят защищать не персональные данные, а себя от регулятора. Это неправильно, может быть с этим надо бороться даже сильнее, чем с фактами неграмотной защиты персональных данных», – утверждает Сергей Вихорев. По его мнению, требованиями определен минимум тех мер, которые должны защитить интересы субъекта персональных данных. «Превентивные репрессивные меры, направленные на строгое исполнение установленных мер защиты, просто необходимы. Давайте вспомним, что водителя наказывают именно за пересечение двойной сплошной, а не за то, что он в результате этого пересечения совершил ДТП», – рассуждает эксперт.

Врачебная тайна

Критики российского законодательства полагают, что удобнее было бы вывести учреждения здравоохранения из-под действия законодательства в области ПДн. Путаницу при понимании требований по защите персональных данных вводит ФЗ-323 «Об основах охраны здоровья граждан в Российской Федерации». «В нем говорится про персональные данные и про врачебную тайну. Вообще, для медицинских учреждений было бы удобно вывести ПДн пациентов из-под требования 152-ФЗ и защищать их как врачебную тайну. К защите врачебной тайны требований практически нет, медицинские учреждения сами выбирают меры и отвечают за защиту. К сожалению, в существующем законодательстве такая возможность (защиты данных не как ПДн, а как врачебной тайны) отсутствует», – полагает Андрей Прозоров.

«Сейчас медицинская сфера находится в сфере действия общего законодательства и общих требований, а это не совсем верно, – утверждает Елена Козлова. – Так, к примеру, для банковского сектора в силу его особенностей были разработаны собственные требования и правила регулирования в части защиты ПДн. Для медицины характерно неменьшее количество нюансов, которые могут послужить причиной для создания отдельной регуляторной базы. Например, в США под требования медицины существует отдельная законодательная база на основе HIPAA».

Международный стандарт – слишком рано

Кроме того, существует международный стандарт обеспечения безопасности информации ISO 27001, который был принят в России в качестве ГОСТа в 2006 г. Выполнив его требования, учреждение автоматически выполнит требования регуляторов по защите ПДн, однако для нынешних ЛПУ это слишком высокая планка. Пока подтвердить соответствие систем защиты ISO 27001 смогла только одна российская клиника – «Медицина».

«Большинство медицинских учреждений еще не готовы жить по принципам ISO 27001. Это связанно с невысоким уровнем зрелости процессов управления ИТ и информационной безопасности медицинских организаций, низкой осведомленностью работников и недостаточным финансированием», – считает Андрей Прозоров.

Слабое место ISO 27001 заключается в том, что он выдвигает требования не к самой защите данных, а к процессам управления информационной безопасностью. «На практике мы уже не раз сталкивались с ситуацией, когда система управления безопасностью правильная и соответствует стандарту: есть и все необходимые инструкции, есть ответственные, есть регламенты и прочее, а управлять нечем. Самой системы защиты информации просто нет. Следовательно, информация остается незащищенной», – комментирует Сергей Вихорев. Кроме того, исполнение требований этого стандарта во многих случаях достаточно дорогостоящее. Таким образом, вряд ли он применим для ЛПУ в полном объеме, хотя, если бы система управления безопасностью информации ЛПУ строилась с учетом ISO 27001, было бы лучше.