|
|
Обзор подготовлен
Документы, регулирующие область защиты персональных данных, в т.ч. применительно к госсектору, в основном слабые, не учитывающие особенностей конкретной деятельности, практически не корректируемые по ходу изменений законодательства и поэтому плохо применимые на практике. По этой причине окончательного ответа на вопрос, как защитить персональные данные, пока не может дать никто.
Прошедшее лето наряду с биржевой паникой вошло в историю, как время окончательного вступления в силу Федерального Закона №152 «О персональных данных». Оба этих события могут похвастать своей давней предысторией, достаточно широким резонансом и даже вовлеченностью в эти темы президентов США и РФ.
Но если дела на бирже большинство россиян беспокоят исключительно в контексте прогнозов обменного курса доллара к рублю, то во втором случае всё ровно наоборот. ФЗ-152 непосредственно касается каждого из граждан и всех без исключения юридических лиц, включая госструктуры. Однако ситуация с ним вызывает озабоченность пока лишь в стане специалистов в области информационной безопасности. Почему?
Поскольку эпопея с вступлением ФЗ-152 в силу - история длинная, сделаем небольшое отступление и попытаемся понять, зачем и кому он был нужен? Управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников вспоминает: «История закона достаточная простая. Россия периодически, в силу неведомых простому обывателю причин, собирается во Всемирную торговую организацию (ВТО). Иногда – вяло, иногда – очень активно. Очередной период такой активности пришелся на 2005 г., когда выяснилось: чтобы на равных торговать в Европе, членства в ВТО мало.
В соответствии с Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и принятых в ее развитие документов, в частности, Директивой ЕС 2002/58/EC «О регулировании обработки персональных данных и защите неприкосновенности частной жизни в сфере электронных коммуникаций», лояльный режим деятельности в Европейском Союзе предоставляется компаниям тех стран, чье законодательство обеспечивает «должную защиту» персональных данных. Для остальных же вводятся достаточно жесткие ограничения, затрудняющие деятельность, связанную с использованием персональных данных (сравните с «адекватной защитой» в российском законе)».
Конвенция Совета Европы была ратифицирована 19 декабря 2005 года, что означало, помимо прочего, и принятие на себя обязательств по разработке локального закона. Такой закон 152-ФЗ «О персональных данных» и был разработан и принят 27 июля 2006г.
«Закон о защите права на приватность сведений о гражданах и о праве доступа к информации о себе был необходим России и раньше, не менее необходим он и сейчас. Без него фундаментальные права граждан, закрепленные 23 и 24 статьями Конституции - о неприкосновенности частной жизни, личной и семейной тайны, возможности ознакомления с документами и материалами, непосредственно затрагивающими права и свободы гражданина, остаются декларацией, не подкрепленной механизмом обеспечения», - продолжает эксперт.
Но стремление зарегулировать всё и вся, уверенность в том, что только государство знает, как правильно защищать интересы граждан, неготовность законодателей и госорганов к переносу решения части вопросов из государственных структур в гражданское общество привели к появлению именно такого закона, о котором мы говорим сейчас.
По статистике более 60% всех операторов персональных данных — это государственные ведомства, учреждения социальной сферы, здравоохранения, образования и т.д. Во многих госструктурах — операторах персональных данных, по данным сотрудника 8-го центра ФСБ Александра Бодрова, «даже такого понятия, как ИТ, не знают». У них нет ни достаточных средств на внедрение современных информационных систем, ни специалистов по информационной безопасности.
В государственном бюджете ни 2009, ни 2010 годов не было предусмотрено соответствующих статей расходов. Хотя, как указывалось выше, ФЗ-152 был принят еще в 2006г. И это еще при том, что государственный вертикальный рынок потребляет ИТ и ИБ в денежном выражении едва ли не больше всех. Так и подмывает вспомнить об известной поговорке о необязательном характере исполнения законов в России. Но не применительно же к самому госсектору!
Безусловно, что-то делается. На руках у аналитиков имеются кейсы и результаты проверок. Но всё равно, мнение ведущих экспертов по вопросу «входит ли сам госсектор в число тех, кому будет сложно привести свои ИС в соответствие с ФЗ?» в целом однозначно.
«Безусловно, входит, - считает Михаил Емельянников. - Но в госструктурах работа будет проводиться только при наличии бюджета, а его, как правило, нет. Обратимся к пояснительной записке депутата Государственной Думы А.Г.Аксакова: «Расходы для приведения информационных систем в соответствие с требованиями закона не предусмотрены Федеральным законом «О федеральном бюджете на 2010 год и на плановый период 2011 и 2012 годов». В бюджет, кстати, при изменении в ФЗ-152, никто изменений не только не внес, но и не собирался этого делать. Опыт приведения госструктур в соответствие ФЗ-152, конечно, есть, но о сертификации я бы здесь говорить не стал. Сертифицируются у нас средства защиты информации, а обязательного требования об аттестации ИСПДн в настоящее время нет».
Хорошо, если госсектор явно буксует, то может быть у частного бизнеса стало меньше проблем? Но и это не так. Хоть список претензий и короток, но они принципиальны. Причем западный бизнес оказался также не в фаворе.
«Если говорить о компаниях, обрабатывающих персональные данные на территории РФ, то недовольство очевидно — новая редакция закона не только не смягчила, но и ужесточила требуемые для реализации закона меры, что неизменно несет в себе расходы для компаний. При этом, как правило, представительства западных компаний в виду менталитета руководства первыми приступают к выполнению требований законодательства, тем самым беря на себя «первый удар» выполнения мер предусмотренных законом», - уверен Алексей Бабенко, старший аудитор департамента аудита компании «Информзащита».
Сложности проекта по защите персональных данных
Источник: ReignVox, 2011г.
Алексей Демин, управляющий корпоративными продажами G Data Software в России и СНГ, придерживается аналогичного мнения: «Интересы у отечественных и иностранных компаний схожие: и тем, и другим работать здесь. Хотят или нет, но надо выполнять требования закона. Только вот подобные ограничения можно встретить сегодня разве что в Северной Корее. И уж тем более, очень все это странно выглядит в свете постоянных деклараций о намерениях поддержать бизнес на этапе его становления. Поэтому вполне понятно и отношение бизнеса к такого рода инициативам».
Встает вопрос, насколько полон набор консалтинговых, организационных и технических решений для практической реализации ФЗ в госсекторе, образовании, здравоохранении и других «окологосударственных» структурах?
«Говорить о консалтинговых решениях, на мой взгляд, нельзя. Они предлагаются каждой конкретной компанией и очень разнятся по качеству,- продолжает Михаил Емельянников.- Среди прочих побочных эффектов закона – выход на рынок огромного количества абсолютно некомпетентных организаций, решивших подзаработать на всеобщей панике и плохой готовности большинства операторов к выполнению незнакомых и сложных функций по технической защите».
«Если говорить о качестве и достаточности локальных документов для госсектора, образования, здравоохранения и т.д., отвечу коротко – документы в основном слабые, не учитывающие особенностей конкретной деятельности, практически не корректируемые по ходу изменений законодательства и поэтому плохо применимые на практике. Соответственно, и предлагаемые организационные и технические решения часто такие же», - считает он.
Но ведь в коммерческом секторе весьма крупные организации, так или иначе, решили проблемы с ФЗ-152. Вполне логично предположить, что существуют консультанты и эксперты, способные качественно обеспечить как обучение и подготовку как специалистов в этой сфере, так и провести полный комплекс сопровождения при реализации и поддержания соответствия. Достаточно ли их для госсектора?
Михаил Емельянников уверен: «Такие организации на рынке, безусловно, есть. Но их деятельность в госсекторе осложняется правилами размещения госзаказа на оказание услуг, который позволяет всей той «пене», о которой я говорил выше, демпинговать, получать работу в госорганах, а потом ее благополучно заваливать. О достаточности говорить трудно, поскольку госсектор не является основным заказчиком услуг по защите персональных данных. Бюджетирование этих работ, как я говорил выше, не предусмотрено».
Так как же исполнять закон? Какова минимальная достаточность для прохождения проверки? Какова цена его исполнения при существующем варианте?
Алексей Бабенко категоричен: «Думаю при ответе на этот вопрос, надо признать, готовых решений не существует. На данный момент оценить объем и стоимость всех требуемых мер не представляется возможным в связи с отсутствием подзаконных актов, раскрывающих требования закона. В качестве совета можно рекомендовать привлекать в рабочую группу по выполнению требований закона не только представителей подразделения информационной безопасности и ИТ, а так же юридического департамента и представителей бизнеса. Довольно часто бывает, что требования ФЗ проще не реализовывать «в лоб», а найти способы по оптимизации систем и процессов обработки данных».
Вадим Ференец
На вопросы CNews ответил Ренат Юсупов, старший вице-президент Kraftway.
CNews: Какие государственные инициативы оказывают сегодня наиболее существенное влияние на развитие отечественного ИКТ-рынка, по вашим наблюдениям?
Ренат Юсупов: Наиболее сложной, масштабной государственной инициативой является «электронное правительство», в состав которого входит множество подпрограмм, которые реализуются практически всеми ведомствами. В рамках этой инициативы несколько десятков министерств, агентств, служб должны перейти на электронное взаимодействие как между собой, так и с гражданами, и с бизнесом. Безусловно, это серьезно стимулирует развитие информационных технологий в государственном секторе.
Основная проблема органов государственной власти заключается в том, что они действуют в рамках собственных представлений о развитии ИТ. В результате на свет появляются разрозненные, несовместимые между собой информационные системы. И идея их консолидации является основной задачей создания «электронного правительства».
1 октября 2011 г. завершился первый этап работ – ведомства подключились к системе межведомственного электронного взаимодействия (СМЭВ). Сейчас начался процесс очистки данных для того, чтобы объединить системы различных ведомств и создать единый источник информации, который будет использоваться при исполнении всевозможных регламентов – и электронного взаимодействия, и предоставления госуслуг.