Как доказать, что ваш продукт не является средством защиты персональных данных

Всё началось с одной истории

Однажды меня попросили разобраться с проблемой вмененной ответственности: заказчики аппаратно-программного комплекса моей компании заявили нам, что раз в системе хранятся персональные данные, она и должна их защищать, и все правовые последствия небезопасной обработки ложатся на нас как на вендора. Сегодня мы убедимся, что в наши дни для подобного «перевода стрелок» нужны серьезные юридические основания.   

Вопрос вовсе не праздный: ответственность за нарушения законодательства в сфере защиты персональных данных постоянно увеличивается, особенно для юрлиц, при этом риски растут не только вследствие эволюции киберпреступности, но и в результате расширения множества факторов неопределенности — как в самом праве, так и в социально-экономической и геополитической обстановке. 

Да чего греха таить: даже ИТ-бизнес часто не успевает за ветрами нормативных перемен, и в условиях усложнения госрегулирования не мудрено погореть на штрафах по элементарной наивности. Именно поэтому важно знать свои права, уметь четко определять, за что отвечаете вы, а что, в свою очередь, должны делать ваши партнеры.         

Очерчиваем границы

Да-да, рекомендую начать анализ границ правового поля программного обеспечения (далее — ПО) с его характеристик как объекта интеллектуальной собственности. Действуем методом исключения. 

Проверяем, зарегистрировано ли ПО в Едином реестре российских программ для электронных вычислительных машин и баз данных (далее — Реестр), созданном во исполнение ст. 12.1 Федерального закона от 27.07.2006 №149-ФЗ (ред. от 14.07.2022) «Об информации, информационных технологиях и о защите информации» (далее — 149-ФЗ). Сразу отметим, что, согласно п. 4 ч. 5 ст. 12.1 149-ФЗ, решение о включении ПО в Реестр означает, что оно априори не содержит сведений, составляющих государственную тайну. 

В соответствии с записью в Реестре ПО присваиваются определенные классы по классификатору программного обеспечения, утвержденному приказом Минцифры России от 22.09.2020 №486 (в действующей редакции). Вам необходимо убедиться, что описание присвоенных вашему ПО классов не предполагает обязательного наличия у него функциональных возможностей по автоматизированной обработке персональных данных (далее — ПД). Тогда факт принадлежности ПО к вышеуказанным классам де-юре будет означать, что оно само по себе не является информационной системой персональных данных в том смысле, как она определена в ч. 10 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ (ред. от 14.07.2022) «О персональных данных» (далее — 152-ФЗ).

Вместе с тем в общем случае любое ПО, включая ваше, в теории может быть использовано оператором (оператором ПД) в целях автоматизированной обработки персональных данных, согласно определениям ч. 1, 3 и 4 ст. 3 152-ФЗ, а именно для записи, хранения, уточнения, извлечения, использования, удаления и (или) уничтожения ПД, связанных с персональными пропусками. 

Согласно п. 2 ст. 3 152-ФЗ, оператор (оператор ПД) является государственным органом, муниципальным органом, юридическим или физическим лицом, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку ПД, а также определяющим цели обработки ПД, состав ПД, подлежащих обработке, и действия (операции), совершаемые с ПД, при этом независимо от факта включения такого субъекта в реестр операторов, осуществляющих обработку ПД, который ведет Роскомнадзор. В соответствии со ст. 19 152-ФЗ, а также п. 3 «Требований к защите персональных данных при их обработке в информационных системах персональных данных» (утвержденных постановлением Правительства РФ от 01.11.2012 г. №1119, далее — ПП-1119) именно оператор обязан принимать или обеспечивать принятие любых мер по безопасности ПД при их обработке. Такой оператор ПД, исходя из определения ПП-1119, также признается оператором соответствующей информационной системы персональных данных. Запомним этот факт.

В свою очередь, согласно п. 2 ПП-1119, безопасность ПД при их обработке в информационной системе поддерживается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы. Согласно п. 4 ПП-1119, выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми ФСБ и ФСТЭК России во исполнение ч. 4 ст. 19 152-ФЗ. При этом определение типов угроз, обуславливающих применение соответствующего уровня защищенности персональных данных, согласно п. 7 ПП-1119, также выполняется оператором. 

Ваше ПО если и не является в строгом смысле средством защиты информации и не предназначено для этой цели, может предоставлять оператору ПД возможность реализации некоторого множества мер по обеспечению безопасности ПД в рамках системы защиты персональных данных, указанных в п. 8 приказа ФСТЭК от 18.02.2013 №21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее — Приказ №21), а также в соответствии с п. 8 ч. 2 ст. 19 152-ФЗ, например:

• идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• регистрация событий безопасности;
• выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности ПД (инциденты), и реагирование на них;
• управление конфигурацией информационной системы и системы защиты персональных данных.

Более того, вы даже можете получить сертификат ФСТЭК на соответствие вашего ПО подобного рода требованиям. Тем не менее совокупность перечисленных в примере выше мер стандартной политики прав доступа не является достаточной с точки зрения требований Приказа №21 о базовых наборах мер по обеспечению безопасности ПД (п. 9 и приложения к Приказу №21) ни для одного из уровней защищенности персональных данных, определенных пп. 9–16 ПП-1119. И если возможности ПО не предполагают каких-либо компенсирующих мер, направленных на нейтрализацию актуальных угроз согласно п. 10 Приказа №21, то в рамках действующего законодательства РФ не существует правового обоснования для использования такого ПО в качестве полноценной и легитимной системы защиты персональных данных, что и требовалось доказать. 

Поскольку иные законные основания для определения ПО как системы защиты персональных данных или средства защиты информации в нашем случае отсутствуют, при обработке ПД с использованием этого ПО в соответствии с требованиями п. 12 Приказа №21 со стороны оператора ПД обязательно и необходимо принятие дополнительных к вышеперечисленным мер по обеспечению безопасности ПД с применением сторонних «настоящих» средств защиты информации.

Такие меры, согласно ст. 18.1 152-ФЗ, как минимум включают:

• назначение оператором ПД ответственного за организацию обработки ПД;
• издание оператором ПД документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД;
• применение правовых, организационных и технических мер по обеспечению безопасности ПД в соответствии со ст. 19 152-ФЗ, а именно:

1. определение угроз безопасности ПД при их обработке в информационных системах персональных данных;
2. применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивают установленные ПП-1119 уровни защищенности ПД;
3. применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
4. оценку эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы персональных данных;
5. учет машинных носителей ПД;
6. обнаружение фактов несанкционированного доступа к ПД, принятие мер реагирования на них и устранение последствий;
7. установление правил доступа к ПД, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в информационной системе персональных данных;

• внутренний контроль и (или) аудит соответствия обработки ПД требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, политике оператора в отношении обработки ПД, локальным актам оператора ПД;
• оценку вреда, который может быть причинен субъектам ПД в случае нарушения 152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение исполнения 152-ФЗ;
• ознакомление работников оператора ПД, непосредственно осуществляющих обработку ПД, с положениями законодательства РФ о ПД, документами, определяющими политику оператора в отношении обработки ПД, локальными актами по вопросам обработки ПД и (или) обучение указанных работников.

Выводы

Таким образом, мы видим, что при соблюдении вышеуказанных условий вне зависимости от целей и особенностей использования вашего ПО и любых его компонентов и (или) их совокупности обеспечение безопасности ПД во всех случаях их обработки посредством такого ПО является обязанностью оператора ПД (а не вашей как вендора), не может быть реализовано исключительно средствами самого ПО и должно поддерживаться мерами, принятыми оператором (а не вами) в соответствии с требованиями законодательства РФ.