Ритейлеры не торопятся исполнять 152-ФЗ

Перенос сроков приведения информационных систем в соответствие с требованиями федерального закона 152 ФЗ "О персональных данных" позволил многим ритейлерам почувствовать себя в относительной безопасности. В большинстве своем они заняли выжидательную позицию. Исключение составляют лишь крупные сетевые и западные компании, которые всерьез занялись и этим вопросом, и информационной безопасностью в целом.

Утверждение, что "снаряд в одну воронку дважды не падает", в сфере информационной безопасности меняет свой смысл ровно на противоположный. Однажды найдя лазейку, хакер вновь и вновь будет приходить и брать то, что считает нужным.

Если говорить о розничной торговле, то, в отличие от жулика на городском рынке, у злоумышленника в электронной информационной системе крупного торгового предприятия выбор, чем поживиться, гораздо шире. И частенько сами товары или даже выручка продавца для него менее интересны, чем персональные данные покупателей или  реквизиты их пластиковых карт. Таким образом, торговые компании и банки превращаются в невольного поставщика информации для дальнейших криминальных действий.

Затем все тайное становится явным. Гнев жертв мошенников, благодаря действиям спецслужб, находящим источник утечки приватных данных, обрушивается на головы менеджеров и акционеров торговых сетей. К чему это может привести? На Западе – к компенсациям и потере репутации, возможно, к закрытию бизнеса. В России же…

Пора ли защищать персональные данные

Возвращаясь к "воронке и снаряду", отметим, что эта проблема довольно давно известна, и в практической плоскости законодательно (или рекомендательно) определен процессный (т.е. непрерывный) подход к обеспечению требуемого уровня ИБ. Именно на этом основано действие ФЗ 152 ("О персональных данных"), ISO 27001, PCI DSS и т.д. Причем экономически целесообразно гармонизировать ИТ-инфраструктуру торгового предприятия под соответствие сразу нескольким нормативным актам, и не только из области ИБ.

В этой статье при упоминании состояния дел в России уже пришлось ставить многоточие. Касаясь темы соответствия ФЗ 152, похоже, придется поступить аналогично. Нет ответственности – нет и мер по должному наведению порядка…

Алгоритм классификации ИСПДн согласно ФЗ 152

Источник: IT-world, 2009

Алексей Шевченко, руководитель отдела поддержки крупных корпоративных проектов компании Eset, отмечает: "Перенос сроков приведения информационных систем персональных данных в соответствие с требованиями федерального закона 152 ФЗ "О персональных данных" позволил многим операторам почувствовать себя в относительной безопасности. Однако подобная позиция ошибочна, особенно для интернет-магазинов, которыми пользуется огромное количество потребителей, оставляя свои персональные данные во время регистрации и заказа товара на домашний адрес.

Недовольные покупатели своими частными жалобами легко могут привлечь внимание такой службы, как Роскомнадзор, и если операторы персональных данных не успели привести свои информационные системы в соответствие с требованиями закона, то причины и оправдания выслушивать уже никто не будет. Те розничные сети, которые понимают данную сложившуюся ситуацию, на сегодняшний день уже внесли в свои статьи расходов затраты на приобретение решений для защиты информационной безопасности и привлечение квалифицированных специалистов в этой области. Стоит также отметить, что в последние месяцы число запросов от компаний-ритейлеров на предоставление сертифицированных антивирусных решений заметно увеличились".

Максим Эмм, директор департамента аудита компании "Информзащита", придерживается аналогичного мнения в вопросе степени влияния этого нормативного акта на операторов розничной торговли. Он считает, что закон "повлиял не очень сильно, фактов  применения санкций, штрафов к интернет-магазинам, да и всему ритейлу в целом пока нет,  поэтому больших затрат на обеспечение соответствия ФЗ 152 у ритейла еще не было. Да, были единичные проекты, но если смотреть в целом по рынку, то ФЗ 152 не являлся основным драйвером ИБ для ритейла в 2010г.".

Ритейлеры выжидают

Однако считать, что менеджмент крупного торгового бизнеса просто игнорирует этот закон, оснований тоже нет. Можно утверждать, что он, скорее, занял выжидательную позицию. Некоторую активность проявляют лишь представители больших сетевых и западных компаний.

Так Олег Слепов, руководитель направления защиты персональных данных компании "Инфосистемы Джет", полагает, что "152 ФЗ в корне изменил отношение операторов розничной торговли к вопросам обеспечения ИБ. Во-первых, они глубже задумались над вопросами обеспечения информационной безопасности в целом. Во-вторых, пришло осознание, что в ИБ нужно вкладывать средства. До этого бюджеты ИБ этого отраслевого сектора в основном составляли закупки антивирусного ПО и других базовых средств обеспечения безопасности. И, в-третьих, сейчас уже можно констатировать готовность ритейлеров увеличить затраты на ИБ, если речь идет о крупных компаниях".

Евгений Рудацкий, руководитель направления PCI DSS компании "Инфосистемы Джет", в целом высказывает аналогичную позицию, но уже по ситуации в вопросе соответствия международному стандарту платежных систем PCI DSS в России.  По его мнению, на сегодняшний день крупные компании операторов розничной торговли в нашей стране только начали задумываться о соответствии PCI DSS, и это обусловлено несколькими факторами. Во-первых, объем платежей по карточкам еще не столь велик, хотя с каждым днем он набирает обороты. Во-вторых, тенденции банковской отрасли и платежных организаций, в которых уровень обеспечения безопасности выше, еще не до конца отразились на ритейле, и бюджеты на ИБ здесь пока гораздо более скромные.

"Ситуация в вопросах compliance PCI DSS в России и мировом масштабе в ритейле различается и кардинально, - продолжает Максим Эмм. - Примерно в таких же пропорциях, что и объем рынка ритейла в западных странах и у нас – т.е. на порядки".

В связи с такой разницей в масштабах бизнеса (за исключением Х5 Retail Group) иностранные игроки имеют возможность вкладывать в технологии намного более значимые средства и пользоваться преимуществами инноваций в большем, чем российские игроки, объеме. Но и обеспечивать соответствие PCI DSS им существенно сложнее – в том числе и из-за масштаба уже существующих ИС, созданных в то время, когда еще PCI DSS не был для них обязательным.

По мнению г-на Эмма, в целом, больше 60% крупных (т.е. больше 6 млн транзакций в год) ритейловых организаций в мире уже достигли соответствия. На российском же рынке пока таких прецедентов нет, как и практически нет крупных (по классификации платежных систем) ритейлеров.  Существующих, по его словам, можно пересчитать по пальцам рук.

В контексте обсуждения набора преимуществ западных ритейлеров в вопросах соответствия нормативным актам возникает аналогичный вопрос к западным ИБ-компаниям. В этой связи оказалось показательным мнение Алексея Шевченко из Eset: "Зарубежные антивирусные разработчики на российском рынке имеют скорее недостатки, чем преимущества. Основной причиной их непопулярности в нашей стране является отсутствие у этих компаний лицензии ФСТЭК".

Согласно 152 ФЗ, все организации, обрабатывающие персональные данные физических лиц, обязаны привести свои информационные системы в соответствие с требованиями регулирующих органов. И, что очень важно, использовать средства информационной безопасности, которые прошли сертификацию ФСТЭК, в том числе, средства антивирусной защиты. В случае нарушения закона деятельность организаций может быть приостановлена.

Подводя итоги, хотелось бы остановиться на мнении Александра Ковалева, директора по маркетингу компании Securit. Он подчеркивает, что в случае с PCI DSS все тянут до последнего, поэтому ситуация в России хуже, чем на Западе. "В целом такое затягивание, сопровождающееся отговорками, "вроде бы нужно, да вроде бы жалко" расходов, свойственно для 152 ФЗ "О персональных данных" и Стандарту Банка России. Хотя с применением последнего дела как раз обстоят довольно неплохо", - уверен он.