Замкнуть периметр | Информационный портал «Саморегулирование»
Источник:
Дата публикации: 13/02/2020

Замкнуть периметр

Замкнуть периметр

Не так давно Национальное объединение строителей «порадовало» своих членов очередным предписанием: саморегулируемым организациям, наделённым статусом оператора НРС, надлежит провести аттестацию рабочих мест на соответствие требованиям закона о защите персональных данных. Срок исполнения – 14 февраля. После обозначенной даты не аттестованные операторы будут отлучены от нацреестра. С проблемой попытались разобраться в АНСБ, и вот что из этого получилось.

Защита как требование закона

Напомним, что Федеральный закон № 152-ФЗ «О персональных данных» принят в 2006 году, в него постоянно вносятся изменения и дополнения, но суть закона от этого не меняется: в нем прописаны критерии отнесения информации к персональным данным и обязанности тех, кто с ними работает, по организации защиты этой информации.

На самом деле персональными данными граждан оперирует каждая бухгалтерия или бюро пропусков, поскольку к ним относится любая информация, связанная с именем, отчеством и фамилией человека. Защищать персональные данные организации должны в любом случае, вне зависимости от согласия гражданина, который их предоставил, а при работе с большими массивами информации (более 100 тысяч человек) необходимо проводить определенные мероприятия, включающие криптозащиту и аттестацию рабочих мест.

НОСТРОЙ столкнулся с необходимостью комплексной защиты персональных данных сразу после начала формирования Национального реестра специалистов в 2017 году, поскольку помимо публичной информации о члене НРС в распоряжении НОСТРОЙ оказалось большое количество дополнительных персональных данных, которые необходимо защитить (паспортные данные, СНИЛС, сведения с места работы и т.д.). Нужно сказать, что в адрес НОСТРОЙ высказывались претензии о том, что работа по защите данных не организована должным образом, однако процедура эта была начата сразу же после получения первых пакетов документов. Другой вопрос, что она оказалась сложной, длительной и довольно затратной, поэтому завершил ее НОСТРОЙ только к сентябрю 2019 года.

Что же было сделано, чтобы защитить персональные данные согласно закону? Как рассказал Агентству новостей «Строительный бизнес» заместитель исполнительного директора НОСТРОЙ Валерий Карпов, большой системный проект начался в 2017 году с выявления угроз и разработки технических предложений по их предотвращению. В течение 2018-2019 годов все необходимые мероприятия были проведены, все сотрудники, работающие с персональными данными, вместе с архивами перемещены на отдельный этаж, причем доступ туда предоставляется только по специальному пропуску и под запись в журнале.

После этого специальная организация провела проверку и выдала НОСТРОЙ аттестат о том, что защита персональных данных соответствует всем требованиям закона. Процедура подтверждения соответствия включает в себя аттестацию дата-центра, серверов, оборудования и помещений в офисе НОСТРОЙ. На все серверы было поставлено программное обеспечение, сертифицированное ФСБ. При этом любые изменения на сервере также сертифицируются. Сейчас система АИС НРС находится в защищенном периметре, и доступ в этот периметр возможен только через дешифратор в дата-центре, а связь проходит по защищенному каналу, — с незащищенного компьютера в этот периметр попасть невозможно. Таким образом, защита персональных данных, организованная НОСТРОЙ, соответствует требованиям закона.

СРО атакуют периметр

Однако, как оказалось, в этом безупречно организованном периметре безопасности есть не просто дырочка, а огромная дыра, через которую может утечь любая информация. И дыра находится на стороне СРО – операторов Национального реестра специалистов.

Напомним, что после начала загрузки данных в НРС многие СРО получили статус операторов для того, чтобы помочь своим членам подготовить и оперативно передать пакеты документов на сотрудников своих членов для внесениях их в НРС. НОСТРОЙ после небольшой проверки дал такой статус более 150 СРО по всей стране. Однако практически ни одна СРО, работая с пакетами персональных данных для НРС, не установила у себя защиты, которая предписана в 152-ФЗ. А закон требует, чтобы у всех операторов НРС были аттестованы те рабочие места и техника, которые подключаются к АИС НРС для передачи данных. При этом степень защищенности этих рабочих мест не может быть ниже, чем степень защищенности самой АИС НРС. То есть, если у АИС НРС третий уровень защищенности, то и рабочие места у операторов НРС также должны иметь третий уровень.

Как выяснил НОСТРОЙ, начав работу по аттестации рабочих мест у СРО – операторов НРС, половина из них даже не зарегистрирована в Роскомнадзоре как организация, работающая с персональными данными граждан, что необходимо было сделать еще два года назад. 30 СРО, имея статус оператора АИС НРС, в систему вообще не разу не входили и непонятно зачем получали этот статус. НОСТРОЙ в декабре прошлого года лишил эти СРО статуса оператора НРС. Еще одна группа СРО – те, что зарегистрировались в Роскомнадзоре, но мероприятия по защите персональных данных проводят по минимуму.

НОСТРОЙ обратился ко всем этим СРО с настоятельной просьбой провести защиту канала передачи данных в АИС НРС на том же уровне, как в НОСТРОЙ, чтобы замкнуть периметр безопасности. Если в СРО такой защиты нет, НОСТРОЙ не станет рисковать персональными данными и будет вынужден лишить СРО статуса оператора НРС. Соответствующее письмо было направлено всем СРО – операторам НРС. Им предложено в 20-дневный срок либо завершить соответствующие мероприятия по защите персональных данных для АИС НРС, либо отказаться от статуса оператора. Однако некоторые СРО сочли это письмо как попытку заставить их провести дополнительные мероприятия и понести дополнительные затраты по защите всех персональных данных, которые имеются в их распоряжении.

«Некоторые СРО попросили дополнительно время на проведение защитных мероприятий. Конечно, мы пойдем им навстречу, – рассказал АНСБ исполнительный директор НОСТРОЙ Виктор Прядеин. – Но ряд руководителей СРО считает, что они не должны это делать в большем объеме, чем уже сделали, что НОСТРОЙ вмешивается в их внутреннюю работу и предъявляет еще какие-то дополнительные требования по защите персональных данных СРО. Это не так: мы предъявляем требования к безопасности в части нашей системы АИС НРС. Мы сейчас должны завершить последний этап по защите персональных данных и убрать доступ в систему с незащищенных рабочих мест. Фактически, мы приводим систему в то состояние, по которому она была аттестована. То есть, вход в нее будет только через шифрующее устройство. Поэтому те операторы НРС, которые не смогут провести все необходимые мероприятия, просто не смогут войти в систему».

Вполне возможно, что многим СРО стоит задуматься, нужен ли им статус оператора НРС. Как выяснило АНСБ в ходе бесед с некоторыми руководителями СРО, сейчас оператор передает в НОСТРОЙ 3-5 пакетов документов в месяц, поэтому устанавливать у себя сложную и дорогостоящую защиту смысла нет.

Некоторые СРО оценивают мероприятия по защите персональных данных по требованиям НОСТРОЙ в 300 тысяч рублей и выше на одно рабочее место. При этом Валерий Карпов провел свой мониторинг, который показал, что практически во всех регионах работают сертифицированные компании, который за разработку необходимых документов, поставку и установку программного обеспечения и проведение аттестации одного рабочего места просят от 40 до 60 тыс. рублей (их предложения есть в распоряжении редакции). Конечно, эти суммы значительно меньше ожиданий СРО, однако с учетом незначительного объема обрабатываемых ими документов тратить и эти деньги нецелесообразно.

Так что СРО уже сегодня начали добровольно отказываться от статуса оператора. Но при этом никто не запрещает им помочь своим компаниям правильно оформить документы для подачи в нацреестр специалистов, а затем они могут быть оправлены по почте или привезены сотрудником лично в офис НОСТРОЙ.

Строитель, ты с кем поделился своими данными?

Осталось понять, почему вдруг защита персональных данных стала такой горячей темой для НОСТРОЙ? На этот вопрос АНСБ ответил Виктор Прядеин:

 - Во-первых, мы занимаемся защитой персональных данных уже несколько лет и делаем это в силу требований закона. Во-вторых, НРС – это база данных федерального уровня, в которой более 200 тысяч пакетов персональных данных специалистов строительной отрасли. Поэтому НОСТРОЙ, чтобы надежно защитить данные и не попасть под санкции Роскомнадзора, обязан выполнять требования закона. А часть требований автоматически переходит и на те каналы, по которым СРО – операторы НРС передают информацию нам. Выстроив систему защиты данных у себя внутри, НОСТРОЙ обязан сделать так, чтобы никакая информация извне не могла попасть по незащищенным каналам.

Фактически НОСТРОЙ, подняв этот вопрос со своей системой, поставил вопрос перед всем сообществом: а как вы защищаете персональные данные ваших членов, сотрудников ваших членов, ваших органов управления, ваших работников? Вполне возможно, что СРО об этом даже не задумываются, – а зря, закон один для всех! И мы готовы в рамках нашей прямой уставной деятельности помочь СРО наладить такую защиту, проводить круглые столы, привлекать Роскомстройнадзор для разъяснений.

– А в чем опасность невыполнения требований по защите персональных данных и в НРС, и в СРО?

– Эти персональные данные могут быть похищены мошенниками и всплыть где угодно. Например, сам  специалист подал свои данные в нацреестр от одной организации, а потом, после сверки базы данных нескольких СРО, оказался сотрудником еще ряда организаций по всей России, даже не зная об этом. А когда этот сотрудник выходит на пенсию, вдруг оказывается, что надбавка к пенсии ему не положена, потому что он – работающий пенсионер. То есть, организация, которая каким-то образом получила персональные данные специалиста НРС, фиктивно оформила его на должность с небольшим окладом, исправно платит на него налоги, а в реальности сотрудник при выходе на пенсию теряет положенные ему льготы. И начинается длинная процедура по установлению истины.

Это один из вариантов. Но эти данные могут использоваться в любых других мошеннических схемах. Но я уверен, что источник этих данных – не СРО и тем более не НОСТРОЙ. Наши строители – люди, по большей части, доверчивые и подчас даже не задумываются, кому и как они передают свои персональные данные. Например, проходя повышение квалификации в учебных центрах, они предоставляют им целый пакет персональных данных. А кто и как их там защищает?

Второй вариант – многочисленные консалтинговые компании, которые «помогали» кандидатам в НРС оформить пакеты документов – и получили доступ к огромному массиву персональных данных. Уверен, никто из специалистов даже не задумывался о том, а что дальше эти консультанты делали с их персональными данными и как их защищали.

Поэтому НОСТРОЙ, защищая данные в НРС, настоятельно советует и СРО, и членам СРО заняться тем же самым. При этом нет необходимости аттестовывать все рабочие места и тратить лишние деньги. Каждая СРО должна определить, кто из сотрудников и с каких компьютеров будет работать с персональными данными.

Хочу еще раз подчеркнуть: закон о защите персональных данных – это закон прямого действия для любых организаций, имеющих с ними дело. Никаких других законов или документов для того, чтобы исполнять требования закона 152-ФЗ, не нужно.

***

На последнем заседании Совета НОСТРОЙ вопрос о необходимости защиты персональных данных, передаваемых операторами в АИС НРС, обсуждался весьма бурно. В итоге Антон Глушков дал поручение Экспертному совету проработать юридическую сторону вопроса и вынести его на следующее заседание Совета (которое, кстати, состоится 19 марта в Калининграде). До этого разговора решено никаких операторов помимо их воли от системы не отключать.

Источник: АНСБ

Темы: , ,


Обсудить на форуме