Ксения Таранова, консультант по информационной безопасности, LETA
Изменения в законодательстве
Как известно, 5 мая 2014 г. был принят Федеральный закон № 97-ФЗ, вносящий изменения в Федеральный закон от 07.07.2003 № 126-ФЗ «О связи». Изменения коснулись правил оказания услуг связи, теперь правилами также должен быть регламентирован порядок идентификации пользователей услуг связи по передаче данных и предоставлению доступа к сети Интернет и используемого ими оконечного оборудования. 31 июля 2014 г. Правительство РФ утвердило Постановление № 758, которым во исполнение Федерального закона № 97-ФЗ были внесены изменения в правила оказания услуг связи. Новые правила устанавливают обязанность операторов связи перед оказанием услуг связи с использованием пунктов коллективного доступа проводить идентификацию пользователей путем установления фамилии, имени и отчества. При этом данные пользователя должны быть подтверждены документом, удостоверяющим личность.
Кроме того, новыми правилами предусмотрена обязанность абонента (юридическое лицо или индивидуальный предприниматель) ежеквартально предоставлять оператору связи список лиц, использующих его пользовательское (оконечное) оборудование, заверенный уполномоченным представителем абонента. Выполнение новых требований вызывает ряд вопросов, рассмотрим их.
Проблематика
Идентификация посетителей, использующих гостевые точки доступа
Согласно разъяснению заместителя директора департамента регулирования радиочастот и сетей связи Минсвязи РФ М.Ю. Быковского, «беспроводной маршрутизатор, принадлежащий абоненту – юридическому лицу, имеющему договор с оператором связи о предоставлении доступа информационной телекоммуникационной сети Интернет, является пользовательским оконечным оборудованием». Иными словами, пользователи гостевых беспроводных сетей (например, посетители) также подлежат идентификации.
Идентификация пользователей при разовом получении услуги
В разъяснении Минсвязи РФ от 8 августа 2014 г. говорится: «Если точка доступа Wi-Fi установлена оператором связи, то он должен предложить специальную форму для указания данных перед открытием доступа в Интернет. Если точка доступа Wi-Fi установлена частным лицом, никаких обязанностей у него в связи с изменениями не существует». Вместе с тем, Постановление Правительства РФ № 758 предусматривает включение в договор оказания услуг связи обязательство абонента предоставлять оператору связи список лиц, использующих его конечное оборудование, в том числе и тех лиц, которые пользовались его оборудованием на основании срочного договора оказания разовой услуги.
Срочный договор, напомним, считается заключенным с момента осуществления абонентом и (или) пользователем действий, направленных на установление соединения по сети передачи данных (сеанса связи). Таким образом, обязательство по идентификации пользователей возложено на операторов связи, но проводить идентификацию придется компаниям-абонентам, чтобы впоследствии передать данные идентификации оператору связи.
Идентификация разовых пользователей по документу, удостоверяющему личность
Очевидно, что обеспечить сбор паспортных данных посетителей, использующих пункт коллективного доступа в рамках разовой услуги, проблематично. Постановление Правительства РФ от 12 августа 2014 г. № 801 «О внесении изменений в некоторые акты Правительства Российской Федерации» упростило эту задачу. Теперь пользователя можно идентифицировать не только при помощи документа, удостоверяющего его личность, но и иным способом, обеспечивающим достоверное установление указанных сведений, в том числе путем установления абонентского номера, назначенного оператором связи. Например, можно удостовериться в личности пользователя, отправив на его абонентский номер SMS-сообщение с кодом, который будет необходимо ввести для получения доступа в Интернет, либо установить его ФИО с помощью учетной записи пользователя на Едином портале государственных услуг.
Способы передачи списка лиц, использующих оконечное оборудование абонента, и защита ПДн
Передача списка пользователей оператору связи может быть осуществлена как на бумажных носителях с подписью уполномоченного должностного лица компании, так и в виде электронных сообщений, заверенных электронной подписью. При этом не следует забывать, что передаваемые операторам связи данные пользователей являются персональными данными и в соответствии с законодательством РФ подлежат защите.
В случае передачи сведений о пользователях на бумажных носителях вопросы обеспечения безопасности передаваемой информации решаются довольно просто. Но что делать с электронными сообщениями? Постановление Правительства РФ от 01.11.2012 г. № 1119 требует от операторов ПДн применять соответствующие организационные и технические меры защиты информации, направленные на нейтрализацию актуальных угроз безопасности. Угрозы, связанные с нарушением конфиденциальности передаваемых третьей стороне ПДн при использовании открытых каналов связи (например, электронной почты), в большинстве случаев будут признаны актуальными. Оператору ПДн для нейтрализации таких угроз необходимо применять сертифицированные средства защиты, а в соответствии с Приказом ФСБ России от 10.07.2014 г. № 378 такими средствами являются СКЗИ (средства криптографической защиты информации) соответствующего класса.
Варианты решений
Есть несколько вариантов выполнения операторами ПДн новых требований.
- Отказ от использования пунктов коллективного доступа для оказания разовых услуг доступа в Интернет. Таким образом, в список пользователей, предоставляемый операторам связи, попадут только данные работников, использующих оконечное оборудование для выхода в Интернет, а посетители компании будут лишены возможности использовать гостевые беспроводные сети.
- Заключение договора с оператором связи на установку точки доступа у себя в компании. В таком случае точка доступа не будет являться оконечным оборудованием компании-абонента, и обязанность по проведению идентификации пользователей, использующих данное беспроводное подключение, будет возложена на оператора связи. При этом компания-абонент по-прежнему будет обязана предоставлять оператору связи список лиц (работников), использующих ее оборудование, на основании требований договора.
- Самостоятельная организация точки доступа для оказания разовых услуг по доступу к сети Интернет (гостевая сеть). При этом компания обязана проводить идентификацию не только своих работников, использующих корпоративную беспроводную сеть, но и тех пользователей, которым был предоставлен разовый доступ (посетителей). Право выбора способа идентификации пользователей предоставляется организатору точки доступа. Это может быть как сбор данных без использования средств автоматизации, так и применение программных решений, основанных на подтверждении телефонного номера пользователя.
Порядок действий
Обязанности, предусмотренные новыми правилами, относятся к операторам связи. Их исполнение может быть делегировано компаниям-абонентам, однако обязательства компаний-абонентов по идентификации и предоставлению операторам связи списков пользователей могут возникнуть только после включения соответствующих пунктов в договоры или заключения дополнительных соглашений к договорам с операторами связи.
Оператором ПДн в рамках рассматриваемого процесса будет являться оператор связи (именно оператор связи определяет цели обработки ПДн). В связи с этим при появлении в договорах с операторами связи новых требований касательно передачи списков пользователей лучше запросить у операторов связи предлагаемые ими способы обеспечения безопасности данных при их передаче.
После обновления договоров с операторами связи или заключения дополнительных соглашений к ним компаниям-абонентам следует выбрать один из предложенных выше вариантов решений и при необходимости провести пересмотр моделей угроз безопасности ПДн, модернизацию системы защиты персональных данных и актуализацию организационно-распорядительной документации, регламентирующей обработку и обеспечение безопасности ПДн в компании.
