Закон о персональных данных: применять нельзя отложить
Закон “О персональных данных” №152-ФЗ (ЗоПД) разделил российское общество на операторов персональных данных (ОПД — это те, с кого начиная с нового года будут спрашивать по всей строгости ЗоПД), регуляторов (к ним относятся госструктуры, разработавшие ЗоПД и намеренные контролировать его исполнение) и субъектов персональных данных (СПД). Последние – это все мы, население нашей страны (даже те из нас, кто не имеет российского гражданства), ради кого, собственно, ЗоПД и принимался.
СПД: “привилегированное сословие” для ЗоПД
К разработке закона 152-ФЗ Россию подвигли процессы международной интеграции, игнорировать которые, по общему мнению экспертов, невозможно. В ноябре 2001 г. страна подписала конвенцию Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных” и летом 2006 г., неспешно двигаясь далее в направлении приведения национального законодательства в области защиты прав СПД в соответствие с международной практикой, приняла закон “О персональных данных”.
“Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну” — так записано в статье второй 152-ФЗ. Хотя главным мотивом принятия ЗоПД эксперты считают упомянутые внешние международные обстоятельства, у нас хватает и внутренних причин озаботиться защитой ПД граждан, накапливаемых в многочисленных базах данных государственных и коммерческих организаций, которые по мере их обновления с высокой оперативностью обновлялись и на “пиратских” CD-дисках.
За прошедшие после принятия ЗоПД три года (и на девятом году после подписания конвенции Совета Европы) мало что изменилось в плане доступности персональных данных населения и их хищения. Поэтому, высоко оценивая изначальную социальную направленность ЗоПД, эксперты наблюдают сегодня только первые попытки ее реализации государством.
По мнению Максима Илюхина, в настоящее время у регламентирующих органов все еще нет жесткого инструмента, позволяющего контролировать соответствие ЗоПД во всех сферах деятельности, связанных, так или иначе, с обработкой ПД населения, т. е. до сего дня государство не сумело превратить ЗоПД в таковой инструмент. Однако не все коллеги-эксперты считают так же. Например, Александр Чигвинцев полагает, что такой инструмент у государства уже существует и многое зависит от практики его применения. Что же касается массы российских ОПД, то по мере приближения 1 января 2010 г. они все с большей очевидностью проявляют опасливое отношение к этому самому “инструменту”, находящемуся в руках у государства. И все же, как отмечает Евгений Модин, массового стремления к обязательному приведению защиты своих ИС к тому уровню, которого требует регулятор, пока не наблюдается. “Организации, в силу разных причин не придававшие особого значения вопросам информационной безопасности, не станут более сознательными благодаря выходу нового закона до тех пор, пока к ним не станут применять репрессивные меры”, — считает он.
Как бы то ни было, уходящий год ознаменовался каскадом мероприятий, на которых активно обсуждалась тема ЗоПД. Итогом обсуждений (хотя бы потому, что до конца года осталось полтора месяца) можно считать состоявшиеся 20 октября в Госдуме РФ парламентские слушания на тему “Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных”. Участники слушаний выдвинули более сотни предложений по доработке ЗоПД, которые теперь будут направлены соответствующим государственным инстанциям, в том числе Президенту РФ.
Содержащееся в рекомендациях предложение перенести срок приведения в соответствие с законом тех ИСПДн, которые были созданы до дня вступления его силу (пока это 01.01.10), свидетельствует ни о чем ином, как о массовой неготовности ОПД выполнять требования ЗоПД, потому как именно в жестких технических требованиях к ИСПДн регуляторы видят суть защиты ПД. И, излагая свое отношение к переносу сроков на состоявшемся в конце августа научно-техническом совете Минкомсвязи, представители ФСТЭК и ФСБ — главные контролеры исполнения этого требования — были категорически против этого.
Предлагая перенести срок фактического вступления ЗоПД в силу, сообщество российских ОПД указывает на ряд недоработок и противоречий, содержащихся в нынешних формулировках закона, самые существенные из которых нашли свое отражение в упомянутых рекомендациях. Среди них предложение гармонизировать ЗоПД со смежными законами с учетом международных стандартов в области ИБ, четко формализовать полномочия регуляторов в части контроля и надзора исполнения закона, обеспечить публичность обсуждения технических документов ФСТЭК и ФСБ до их принятия. “Стоит признать, тема ЗоПД обросла и продолжает обрастать огромным количеством слухом и домыслов, — считает Александр Чигвинцев. — Поэтому совершенно очевидно, что всем нам не хватает четких и однозначных комментариев и разъяснений со стороны госрегуляторов”.
ОПД: цель одна, средства разные
Защищая свои цеховые интересы, российские ОПД стремятся выразить в рекомендациях участников парламентских слушаний свою консолидированную и аргументированную позицию и донести ее до госрегуляторов. Однако же изнутри сообщество ОПД выглядит далеко не однородным. ОПД разделяются по отношению к закону на государственные и частные организации, на крупный и малый бизнес, на иностранные и российские компании, на потребителей систем защиты информации (СЗИ) и разработчиков таких систем. На каждую из этих категорий закон воздействует по-особенному. Кроме того, операторы персональных данных, безусловно, различаются и по степени готовности к ЗоПД, что зачастую обусловлено их отраслевой принадлежностью. “Если в банковской сфере уровень защиты данных всегда был одним из самых высоких, то для социальных учреждений, большинство из которых являются государственными, этот показатель несравнимо ниже”, — констатирует Евгений Модин.
Впрочем, государственные структуры — это отдельная статья. С одной стороны, как напоминает Дмитрий Гусев, им и до принятия ЗоПД в рамках “Специальных требований и рекомендаций по технической защите конфиденциальной информации” (СТР-К) Гостехкомиссии РФ предписывалось в обязательном порядке заниматься вопросами защиты конфиденциальной информации, включая и защиту персональных данных (СТР-К, раздел 5.2 “Основные требования и рекомендации по защите служебной тайны и персональных данных”). С другой стороны, любое властное требование к госорганизациям должно быть подкреплено соответствующей расходной бюджетной статьей. Напомним, согласно расчетам представителей ЦБ РФ, госсектор претендует на 6% от доходной части бюджета страны, чтобы выполнить требования ЗоПД в его нынешнем виде. Вряд ли у государства найдутся такие средства.
По наблюдениям Николая Починка, в ряде организаций госсектора, муниципальных предприятий и общественных организаций зачастую нет даже базовой ИБ-инфраструктуры, без которой построить полнофункциональное решение в области защиты ПД очень сложно. Александр Васюнин обращает внимание на сложную ситуацию в организациях здравоохранения, которые обрабатывают данные о здоровье граждан, и теперь при слабом финансировании и дефиците ИТ-специалистов в короткие сроки должны принять адекватные требованиям ЗоПД меры по защите этих данных, т. е. заплатить за проведение обследования и разработку документации, классификацию ИСПДн, за разработку моделей угроз и нарушителей, проектирование системы защиты, ее внедрение и аттестацию. И опять встает вопрос, где взять средства. А Дмитрий Москалев считает, что к введению ЗоПД могут быть вовремя готовы лишь те компании, которым не требуется согласие субъектов персональных данных.
Существенно упростить выполнение требований ЗоПД как бюджетным, так и частным организациям должны отраслевые стандарты защиты ПД. На сегодняшний день, как отмечает Евгений Модин, такой стандарт есть только у банков в виде подготовленного Банком России документа “Обеспечение информационной безопасности организаций банковской системы Российской Федерации”, две новые редакции которого (Общие положения и Методика оценки соответствия) вступили в действие в нынешнем году. Что касается других отраслей, то разработку таких стандартов для них, как считают участники упомянутых парламентских слушаний, должно возглавить Минкомсвязи. Кроме всего прочего, эти стандарты помогут выровнять отмечаемую нашими экспертами большую разницу в готовности к соответствию ЗоПД как между целыми отраслями, так и между отдельными предприятиями внутри отраслей. Но тут могут возникнуть трудности в процессе согласования отраслевых стандартов на уровне ФСБ и ФСТЭК.
Свои проблемы есть и у крупных коммерческих организаций, в которых задача защиты информации так или иначе решена. Как отмечает Дмитрий Гусев, у них в большинстве случаев используются СЗИ, не сертифицированные по требованиям ФСБ и ФСТЭК, или сертифицированные по требованиям, недостаточным для защиты ИСПДн соответствующих классов. То есть им необходимо заменить уже используемые СЗИ на полностью соответствующие положениям ЗоПД, что связано с затратами времени и денег.
Понимая, что для защиты ПД нужны значительные средства, да еще в кризисную пору, коммерческие и общественные организации, как отмечает Максим Илюхин, лоббируют отсрочку вступления закона в силу. Некоторые же ОПД уповают на то, что к ним не придут с проверками. Он считает, что эту ситуацию исправит четкая формулировка последствий неисполнения закона, чего сегодня, по его мнению, закону явно не хватает.
Защищать данные или защищаться от проверяющих
В условиях неоднозначности толкований требований ЗоПД, многие организации, как свидетельствуют эксперты, начинают вкладывать ресурсы в повышение компетентности своих юридических служб. “В ситуации, когда требования ЗоПД и контроль их исполнения остаются размытыми, — говорит Николай Починок, — экспертиза в юриспруденции может иметь для ОПД существенное значение, наверное, даже большее чем техническая экспертиза в области ИБ. При наличии грамотной юридической службы и ИБ-службы компания может доказать, что требования закона ею выполняются. Однако нужно быть готовым к тому, что из-за несовершенства и нечеткости закона на это может уйти много сил и времени”. Судить о степени подготовленности юридических служб российских ОПД пока рано — слишком мало было проверок на соответствие требованиям ЗоПД, считает он.
Тем не менее у Дмитрия Гусева уже есть своя оценка ситуации: он отмечает, что, если технологическая готовность компаний к выполнению ЗоПД в среднем низкая (это при том, что, как утверждает Вячеслав Медведев, необходимые технологии в виде готовых СЗИ на рынке представлены), то юридическая готовность еще ниже. Такой же точки зрения придерживается и Дмитрий Москалев.
Положение дел с юридической готовностью компаний, по мнению Максима Илюхина осложняется и тем, что государственные органы, регламентирующие правовое поле защиты ПД, скупы на разъяснения, в результате чего практически отсутствуют публичные документы, способные создать для организаций прозрачную схему защиты ПД. От недостатка такой информации более всего страдают компании среднего и малого бизнеса.
“Следуя требованиям закона, — поясняет Вячеслав Медведев, — каждая компания должна разработать достаточно большой пакет документов, отражающий все аспекты информационной безопасности применительно к конкретной компании. В этих документах ей необходимо обосновать не только выбранный уровень защиты (в том числе рассчитать все риски и возможные денежные потери компании), но и отдельные аспекты его обеспечения, необходимо переработать должностные инструкции и переобучить всех сотрудников”. Для сегмента СМБ это очень непростая задача.
Сертификация: “свои” и “чужие”
Максим Илюхин полагает, что благодаря ЗоПД на российском рынке ИБ сформировался специфический сектор со своими правилами и требованиями и это в период финансового кризиса положительно отразилось на рынке ИБ в целом. Причем российские производители СЗИ имеют в этом секторе очевидные преимущества, поскольку практически все они, являясь лицензиатами ФСТЭК и ФСБ, изучили нормативную базу и постарались привести свои продукты в соответствие с требованиями регуляторов или запустили в разработку новые продукты, идея которых была подсказана им положениями законодательства. “К тому же все продукты для защиты ПД должны иметь подтверждение ФСТЭК или ФСБ на отсутствие недекларированных возможностей (НДВ) — отмечает он. — Данное требование могут выполнить только российские разработчики, так как для получения такого подтверждения необходимо предоставить регуляторам исходные коды ПО и полную конструкторскую документацию для аппаратных решений, а западные вендоры не открывают своих секретов производства”.
Николай Починок согласен с тем, что иностранным производителям иногда сложнее и дольше проходить сертификацию, хотя с технической точки зрения российские производители не имеют каких-либо преимуществ перед своими зарубежными коллегами. Александр Чигвинцев еще более оптимистичен в оценке положения иностранных вендоров СЗИ в России: “Во-первых, многие иностранные производители сертифицировали или сертифицируют в ближайшее время целый ряд продуктов отвечающих за ИБ. Во-вторых, со стороны заказчиков все еще сохраняется несколько настороженное отношение к продуктам отечественных разработчиков ПО. Проблема здесь не в том, что у нас хуже программисты (это, конечно, не так), а в том, что создание и главное, поддержка программного обеспечения — достаточно сложный технологический процесс. И собственно качество (надежность) того или иного продукта во многом определяется отлаженностью всех этапов его жизненного цикла. Что касается российских компаний — разработчиков ПО, то все еще сохраняется мнение, что они по организации процесса отстают от западных ”.
По мнению Дмитрия Гусева, проблема с выполнением требований ЗоПД осложняется еще и тем, что на рынке ИБ-услуг появилось много новых игроков с недостаточной степенью квалификации, что приводит к тому, что заказчиков работ по защите ИСПДн часто вводят в заблуждение и они платят деньги за ненужную или некачественную работу.
ЗоПД неизбежен
Несмотря ни на какие связанные с ЗоПД проблемы, большинство участников рынка ИБ рассматривает его как положительный фактор влияния на общий уровень ИБ в компаниях и в стране в целом. Как отмечают многие эксперты, только принятие этого закона стало для многих российских компаний стартовой точкой для решения вопросов защиты информации. “Закон обязательно приведет к общему повышению уровня защищенности информации, правда, пройдет еще два-три года, прежде чем мы увидим общее качественное улучшение уровня защиты ПД в стране”, — считает Николай Починок.
Оценки влияния ЗоПД некоторых из наших экспертов более осторожны. Так, Александр Чигвинцев полагает, что пока выводы об эффекте воздействия этого закона на состояние ИБ в стране делать трудно, тем более что даже у крупных и зрелых в области ИБ операторов ПД формальное выполнение требований ЗоПД вызывает серьезные вопросы.
Вячеслав Медведев напоминает, что самой уязвимой частью любой системы безопасности являются люди и формальное введение закона не приведет к повышению уровня ИБ — нужна постоянная работа с персоналом, повышение уровня знаний сотрудников в области ИБ, информирование их о причинах необходимости тех или иных действий в защите информации. Реализация закона, по его мнению, может столкнуться с большими трудностями из-за дефицита грамотных специалистов.
И тем не менее, чем ближе 1 января 2010 г., тем очевиднее, что “пройти мимо” №152-ФЗ не удастся никому — будь то юридическое или физическое лицо, государственная структура или частная компания, потребитель СЗИ или их разработчик. Независимо от того, вступит закон в полную силу 1 января 2010 г. или через год (Минкомсвязи готовит для правительства предложение с таким переносом срока), есть смысл прислушаться к рекомендациям экспертов: “Хотя бы начните работать над задачами защиты ПД уже сегодня …”.
“Несмотря на существующее мнение о том, что осталась масса открытых вопросов и, пока они не ясны, делать ничего не нужно, необходимо отметить главное: закон будет выполняться, — предупреждает Евгений Модин. — Эта мысль звучит на всех мероприятиях с участием регуляторов. И это, наверное, плохая весть для тех, кто надеется отсидеться в сторонке”.