|
|
Обозрение подготовлено
России нужен стандарт безопасности персональных данных. Именно к такому выводу пришел аналитический центр InfoWatch после масштабного исследования мнений профессионалов по ИТ-безопасности, ознакомившихся с требованиями нового ФЗ «О персональных данных». Подавляющее большинство (94%) восприняло его с энтузиазмом, однако 40% опрошенных не верят, что он будет работать на практике. России необходимо как можно скорее определиться с надзорным органом, который возьмет на себя функции применения ФЗ на практике и опубликует стандарт безопасности приватных данных.
Федеральный закон (ФЗ) "О персональных данных" был принят относительно недавно — в конце июля 2006 года. Однако шуму с тех пор он успел наделать немало. Основная причина тому — довольно жесткие требования к безопасности приватных сведений граждан, а также широкий спектр организаций, попадающих в область действия закона. Так, в рамки нормативного акта попадает любое физическое или юридическое лицо, которое имеет на своем попечении персональные данные других граждан. На практике это означает, что закону должны подчиняться все коммерческие и государственные структуры.
Отметим, что этот ФЗ вступил в силу лишь в начале февраля 2007 года, так что постоянные утечки приватных баз, зафиксированные до этого времени, не попадают в сферу действия нового нормативного акта. Кроме того, некоторые требования закона отложены до 1 января 2008 года и 1 января 2010 года. Тем не менее, соответствие ФЗ требует от организаций внедрения новых ИТ-продуктов, принятия организационных мер и модернизации бизнес-процессов компании.
Чтобы пролить свет на практичность требований закона к ИТ-безопасности, компания InfoWatch опросила 300 профессионалов по защите информации на сайте SecurityLab.ru.
Насколько хорошо Вы знаете требования ФЗ
Источник: InfoWatch и SecurityLab, 2007
Заметим лишь, что респондентам было предложено оценить свои знания требований ФЗ "О персональных данных" в сфере ИТ-безопасности. Также аналитический центр InfoWatch предоставил анкетируемым специалистам справочные материалы, обобщающие положения закона в плане защиты приватных сведений. В результате подавляющее большинство (90%) респондентов могло чувствовать себя уверенно и делать компетентные суждения относительно требований ФЗ.
Обратимся теперь к основным выводам исследования "Защита персональных данных по закону". Так, подавляющее большинство специалистов (94%) восприняло новый закон с энтузиазмом. Другими словами, беззащитность приватной информации и постоянные утечки баз данных вызывают очень серьезную озабоченность респондентов. В то же самое время 40% опрошенных профессионалов не верят, что закон будет работать на практике. Но в чем проблема? Оказывается, в недостаточной конкретности требований закона (49%) и нехватке денег на внедрение адекватных систем защиты (20%). Кроме того, России необходимо как можно быстрее выбрать уполномоченный орган, который будет следить за соблюдением требований закона "О персональных данных" и опубликует официальный стандарт по безопасности приватной информации. Это позволит снять основное противоречие — нечеткость требований закона. Однако текущие требования закона большинством голосом (79%) признаны вполне подъемными к реализации. Более того, 71% организаций уже запланировали внедрение новых ИT-продуктов, позволяющих достичь соответствия с положениями закона.
Респонденты выразили большой энтузиазм в связи с принятием ФЗ "О персональных данных". Практически все анкетированные специалисты (94%) убеждены, что России был просто необходим такой нормативный акт. Против этой точки зрения выступили лишь 6%, из которых ровно половина (3%) сомневается в выборе ответа.
Нужен ли России вообще закон "О персональных данных" сегодня?
Источник: InfoWatch и SecurityLab, 2007
По мнению аналитического центра InfoWatch, воодушевление респондентов вполне оправданно. Гражданам просто надоело находить свои персональные данные практически в каждой продаваемой сегодня базе данных. Теперь люди возлагаю надежды на новый закон, так как это первый шаг на пути к цивилизованному обращению приватной информации в обществе.
Хотя проблему утечек персональных данных можно считать наболевшим вопросом, 40% респондентов не верят в эффективность нового нормативного акта. Из них 7% считают, что закон вообще не будет работать. Однако не все так плохо: 6 респондентов из 10 в целом возлагают на закон положительные надежды. Структура этих 60% такова: 54% респондентов полагают, что норматив будет работать, но не в полную силу, а 6% абсолютно уверены, что закон окажется довольно эффективным (приведет к сокращению числа утечек, а за сами утечки начнут привлекать к суду).
Будут ли требования ФЗ работать на практике?
Источник: InfoWatch и SecurityLab, 2007
Как указывают эксперты InfoWatch, опасения 40% респондентов вполне обоснованны. Так, согласно ст.19 ч.2 ФЗ "О персональных данных", правительство РФ должно установить требования к "обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных". Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на "федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации". Другими словами, принятие закона (даже с прописанными в нем требованиями к безопасности приватных сведений) является лишь первым шагом на долгом пути к цивилизованному обращению персональных данных. Следующей ступенью должно стать назначение или создание уполномоченного органа и четкая формализация требований к защите личной информации. Тем не менее, эксперты InfoWatch солидарны с теми респондентами, которые возлагают положительные надежды на новый закон. Все-таки первый шаг — всегда самый трудный. Так что уже сегодня есть предпосылки к тому, что власть урегулирует оборот приватных сведений в России.
Каковы же тогда препятствия на пути эффективной реализации требований закона? Очевидно, что внедрению всех требований ФЗ в ИТ-инфраструктуру организации потребует определенных усилий от специалистов компании, а также бюджетных ассигнований на покупку новых средств защиты. Как оказалось, главными трудностями на этом пути являются неконкретность самих требований (49%), бюджетные ограничения (20%) и нехватка квалифицированного персонала (18%).
Препятствия на пути реализации требований ФЗ
Источник: InfoWatch и SecurityLab, 2007
Легко видеть, что наибольшие сложности у российских специалистов вызывают сами требования закона, а точнее — их неконкретность. Эта причина возглавила список наиболее сложных для преодоления препятствий и набрала 49% голосов. По мнению экспертов InfoWatch, респонденты прекрасно понимают, что конечные требования к защите персональных данных будут сформулированы позже отдельным уполномоченным органом. Другими словами, сейчас компании могут реализовать лишь самые общие положения закона — внедрить систему защиты от утечек и инсайдеров, криптографические средства и разделение доступа. Таким образом, можно сделать один из главных выводов - России необходимо как можно быстрее выбрать уполномоченный орган, который будет следить за соблюдением требований закона "О персональных данных" и опубликует официальный стандарт по безопасности приватной информации.
Конечно, основным препятствием является расплывчатость требований закона. Однако за этой трудностью хоть и с большим отрывом идут бюджетные ограничения. К сожалению, в нашей стране все еще слишком мало средств выделяется на автоматизацию, информационные технологии и безопасность. Вторая известная проблема — нехватка квалифицированного персонала. Особенно сильно это чувствуется в тех случаях, когда от компаний требуют обеспечить безопасность персональных данных, но не объясняют конкретно, какие средства защиты или технологии должны быть внедрены обязательно.
На следующем этапе аналитический центр InfoWatch предложил респондентам определить, насколько сильно необходимо модернизировать ИТ-инфраструктуру организации, чтобы удовлетворить требованиям ФЗ "О персональных данных". Как оказалось, почти половина (47%) специалистов считает этот проект достаточно сложным, но выполнимым. В то же самое время почти треть (32%) опрошенных профессионалов заявила, что такой проект вряд ли можно считать сложным: сильно менять ИТ-инфраструктуру не надо, хотя чуточку повозиться все-таки придется. Усредняя ответы, можно сделать вывод, что подавляющее большинство респондентов считает требования ФЗ к защите персональных данных вполне подъемными.
Насколько сильно придеться изменять свою IT-систему в соответствии с ФЗ?
Источник: InfoWatch и SecurityLab, 2007
При должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с ФЗ не должна представлять для российских организаций больших трудностей. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако уже сейчас можно утверждать, что эти средства безопасности необходимо внедрить и без участия надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации компании является залогом ее успешной деятельности.
Последним вопросом респондентам было предложено рассказать о своих планах по внедрению технологических решений для защиты персональных данных. Оказалось, что 71% организаций уже запланировал покупку и внедрение такого рода продуктов. Можно сделать вывод, что подавляющее большинство респондентов совершенно адекватно отреагировали на требования закона, которые фактически и ставили своей целью подвигнуть российские организации к устранению постоянных утечек.
Планы по внедоению новых ИТ-продуктов для соответствия с ФЗ
Источник: InfoWatch и SecurityLab, 2007
Подводя итоги, можно заметить, что закон "О персональных данных" воспринят профессиональным сообществом в целом очень положительно. Однако только 6 человек из 10 полагают, что требования нового норматива в сфере ИТ-безопасности будут работать на практике. Между тем, ровно 40% респондентов не верят в закон. Появляется вполне резонный вопрос — каковы препятствия на пути реализации требований ФЗ. Ведь что-то заставляет сомневаться чуть меньше половины (40%) респондентов. Оказывается, что наибольшие сложности у российских специалистов вызывают сами требования закона, а точнее — их неконкретность. Эта причина возглавила список наиболее сложных для преодоления препятствий и набрала 49% голосов. Таким образом, России необходимо как можно скорее определиться с надзорным органом, который возьмет на себя функции применения нового ФЗ на практике и опубликует стандарт безопасности приватных данных.
Алексей Доля
CNews: В попытке максимально усложнить жизнь инсайдеру, компания параллельно усложняет условия работы сотрудников. Как найти, по вашему мнению, необходимый компромисс? Существуют ли соответствующие законодательные нормы для этого?
Александр Синельников: Необходимый компромисс заключается как раз не в усложнении условий работы. Мы стремимся к тому, чтобы сделать наши решения по безопасности незаметными для работы сотрудников: предоставить им оптимальные условия для работы, но при этом иметь полный контроль над действиями персонала.