|
|
Обзор подготовлен
В Европейских странах практика защиты персональных данных имеет длительную историю, в течение которой законодательная база успела устояться. В России же государство занялось этой проблемой относительно недавно. В настоящее время, судя по последним событиям вокруг федерального закона "О персональных данных", нормы в этой области находятся в стадии становления.
7 ноября 2001 года Российская Федерация подписала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, взяв на себя обязательства по приведению в соответствие с нормами европейского законодательства деятельности в области защиты прав субъектов персональных данных. Стремясь стать частью большой европейской семьи, Россия явно торопилась с рождением закона. Отсутствие времени на глубокую переработку недостаточного на тот период материала, а также сложности с быстрым достижением консенсуса между ведомствами, не могли не сказаться на результате. В итоге на протяжении более чем трехлетней жизни закона "О персональных данных" постоянно раздается критика в его адрес: непосильные требования, неадекватные сроки, несовершенство формулировок. Но закон надо выполнять. Вопрос: как.
Первыми этот вопрос подняли компании, составляющие армию крупных операторов ИСПДн. Им на помощь постарались придти интеграторы, поставщики СЗИ и СКЗИ, каждый с собственными интересами. В итоге время на приведение информационных систем, содержащих персональные данные, в соответствие с нормативной базой операторы расходовали на свое усмотрение. Причем их позиции в этом отношении кардинально отличались. Часть действительно задумались о том, где и как искать бюджеты на необходимые процедуры подготовки. Кто-то решил просто переждать в стороне. Многие рассчитывали на перенесение сроков.
Кризисные явления в экономике, помноженные на проблему защиты персональных данных, в свою очередь, активно подогреваемую PR-кампанией в СМИ, создавали все большую напряженность на рынке. В редкий месяц не проводилось мероприятий, так или иначе затрагивающих проблему персональных данных. Традиционные ежегодные конференции, такие как "Инфофорум", InfoSecurity-Russia и "Информационная безопасность. Региональные аспекты" ставили этот вопрос во главу угла. За последние пару лет был запущен ряд интернет-проектов (www.privacy-journal.ru, www.zki.infosec.ru, www.ispdn.ru и др.), посвященных этой проблеме. Что до публикации в СМИ статей разного уровня профессионализма, посвященных аспектам защиты ПДн, то их объем не представляется возможным оценить. Форумы кипели. Отраслевое сообщество било тревогу, проводились подсчеты времени, действительно необходимого для выполнения норм №152-ФЗ. Когда до "часа икс" оставалось два месяца, в Государственной думе прошли очередные парламентские слушания, посвященные совершенствованию нормативной базы в области персональных данных.
Представительный состав парламентских слушаний Госдумы обсудил вопросы целесообразности срока приведения ИСПДн в требуемый законом вид. Пожалуй, впервые со столь высокой трибуны прозвучало утверждение об очевидной необходимости переноса срока, обозначенного в ст. 25 п. 3 ФЗ №152. Со стороны Роскомнадзора было сделано заявление о том, что, понимая общее положение и проблемы операторов по исполнению требований закона, данный орган не намерен в ближайшее время переходить к жестким карательным мерам. Указанное выступление коснулось и законопроекта № 217355-4 "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных".
Финальный аккорд 2009 года в долгой эпопее с увеличением срока прозвучал: комитет Госдумы по информационной политике рекомендовал отсрочить вступление в полную силу закона о персональных данных на год. Предложенные депутатами изменения касались также исключения из закона требований о применении криптографических средств для защиты персональных данных. Данное упрощение должно позволить предприятиям снять необходимость получения лицензии ФСБ на деятельность по техническому обслуживанию шифровальных средств.
О чем говорит инициатива комитета Государственной думы РФ? Прежде всего, о том, что, возможно, впервые за всю историю рынка информационной безопасности государство прислушалось к мнению отраслевого сообщества. Мы сделали большой шаг вперед на пути к достижению компромиссов, нахождению рациональных решений, удовлетворяющих обе стороны. Достаточно ли этого? Если оценивать это решение сиюминутно – да, но перспективе предстоит изменить еще очень многое. Попробуем оценить некоторые направления этих изменений.
Полномочиями надзора за порядком работы с персональными данными в некоторых странах наделен комиссар. Такая практика существует в Ирландии, Лихтенштейне, Новой Зеландии. Специальные комиссии по защите персональных данных существуют в Австрии, Бельгии, Боснии и Герцеговине, Болгарии, Франции, Португалии, Словении. В Австралии по представлению министра комиссар (Former Federal Privacy Commissioner of Australia) назначается сроком на 7 лет. Так называемый информационный комиссар есть также и в Великобритании (Data Protection Commissioner). Он назначается на 5 лет монархом по представлению обеих палат парламента. В Аргентине сформировано Национальное управление по защите персональных данных. В Италии создан специальный наблюдательный орган по защите персональных данных Garante, состоящий из четырех человек, назначенных по двое от каждой палаты парламента сроком на 4 года.
В России появление такого органа сопровождалось длительной проволочкой, превысившей все мыслимые сроки. Теперь у нас есть Роскомнадзор (ранее Роскомсвязьнадзор), его деятельность регулируется положением, утвержденным постановлением правительства РФ от 16.03.2009 №228, он является подведомственной Министерству связи и массовых коммуникаций РФ федеральной службой (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). Роскомнадзор имеет достаточно развитый штат в Москве и в 78 регионах России 1. Срок деятельности сотрудников органа не ограничен.
С точки зрения самой сути этого органа он не устраивает ни наших, ни международных законников. В развитых странах это независимая государственная структура, основным призванием которой является защита прав и свобод граждан. В России ситуация немного иная: Роскомнадзор может осуществлять проверки информационных систем операторов ИС на соответствие требованиям законодательства независимо от подачи жалоб гражданина о подозрении в нарушении обработки его персональных данных тем или иным оператором.
С течением времени, что особенно стало заметно к концу 2009 года, разговоры о защите персональных данных постепенно перешли к практическим вопросам. В то же время руководители министерств и ведомств, не имевших ранее опыта защиты ПДн, склонны подходить к оценке реальных возможностей в этой области весьма скептически. Это звучало в докладах представителей министерства образования, министерства здравоохранения и социального развития, союза страховщиков России и во многих выступлениях в рамках уже упомянутых парламентских слушаний в Государственной думе в октябре 2009 года. Так, операторы отметили, что в законодательстве имеется дисбаланс в сторону интересов субъектов ПДн, в то время как реальные возможности операторов не учитываются.
Многие уже столкнулись с различными трактовками основных положений федерального закона в регионах, недостатком разъяснений со стороны государственных регуляторов и избирательным применением закона. Отмечено, что рекомендации со стороны ФСТЭК России по лицензированию деятельности в области технической защиты информации, сертификации средств защиты информации, аттестации ИСПДн подразумевают наличие достаточно больших материальных и трудовых ресурсов. Подобных ресурсов бюджетным организациям пока никто не обещал. С позиции же коммерческих структур выполнение сегодняшних требований может привести к существенному удорожанию услуг оператора.
На начало ноября 2009 г. количество операторов, подавших уведомления в Роскомнадзор, составляло около 70 тыс., т.е. порядка 1,8% от ожидаемого количества. Такую неутешительную статистику эксперты объясняют незрелостью формулировок самого закона и отсутствием логичной увязки со смежными законодательными актами. По приблизительным подсчетам для снятия противоречивых положений, формулировок и следующих за ними трактовок, необходимо внести изменения в тридцать законодательных актов, не говоря о корректировке самого закона.
В качестве другой причины низкой активности операторов по подаче уведомлений, эксперты называют непомерно завышенные требования по защите персональных данных, выполнить которые не под силу большинству компаний, оперирующих ПДн. В качестве примера приведем рекомендацию наличия лицензии ФСТЭК России на техническую защиту конфиденциальной информации для операторов, имеющих в составе своих информационных систем ИСПДн первого и второго классов и для распределенных ИСПДн третьего класса. Наверное, имелась в виду обязательность наличия лицензий у интеграторов, которые помогают операторам формировать модель угроз, согласовывать ее, выбирать адекватные ей средства защиты, а главное - готовить систему к аттестации.
Также одной из причин можно назвать неготовность операторов в вопросах, касающихся выделения необходимых бюджетов и наличия специалистов. Существенным негативным фактором является непонимание со стороны руководства важности проведения соответствующих мероприятий, требующих и материальных и людских ресурсов. Приведем еще один взгляд на проблему выполнения требований закона в срок.
По оценкам специалистов, число информационных систем, обрабатывающих персональные данные (ИСПДн), для России может составлять от 3 до 7 миллионов. Ранее попытки посчитать временные затраты оператора ПД на основные процедуры приведения своих информационных систем в соответствие с требованиями №152-ФЗ предпринимались не раз 2, но будем основываться на актуализированных данных.
Оценки затрат времени оператора ПД на основные этапы по приведению ИСПД в соответствие с требованиями ФЗ-152, 2009
Этап | Оценка затрат времени, месяцы |
Регистрация оператора ПД | 1-2 |
Лицензирование | 2-3 |
Классификация и категорирование | 1-2 |
Разработка и согласование модели угроз | 1-2 |
Сертификация | 3-5 |
Аттестация | 2-3 |
Источник: Aladdin, 2009
Если сложить значения для указанных этапов, то по усредненным показателям получится никак не меньше года. Представим себе, что по мере накопления опыта и выстраивания бизнес-процессов, в том числе постановки некоторых схожих типов работ "на поток", общими усилиями нам удастся выдержать требуемый одногодичный срок. Спасет ли это ситуацию? ФСТЭку придется призвать на помощь всех лицензиатов ФСБ России и собственные специализирующиеся на наиболее трудоемких операциях квалифицированные кадры, имеющие опыт и необходимое оборудование, обучить их и привлечь к интенсивной работе. По обновленным данным, сегодня таких организаций более 1000.
Наконец, попробуем грубо оценить число систем, нуждающихся в полном цикле работ, занимающих сегодня в среднем 1 год. Экспертные оценки разнятся, но никто из опрошенных не называл цифру менее 100 тысяч. Примем ее в качестве наименьшей для проведения интегральных оценок. Итак, мы имеем следующие исходные данные. Минимальный средний срок проведения основных этапов работ - 1 год для каждой ИСПДн. Максимальное число центров по проведению работ по подготовке операторов к лицензированию, согласованию модели угроз, сертификации и аттестации ИСПД – 1000. Минимальное количество ИСПДн, для которых необходимо выполнять весь рассмотренный цикл работ по приведению информационной системы в соответствие с ФЗ-152, примем 100 000 шт.
В итоге, на проведение такой работы в масштабах страны, как нетрудно оценить, уйдет 100000/100 = 100 лет. Поскольку каждая уполномоченная организация может качественно выполнять одновременно не более 10 работ, то этот срок может снизиться до 10 лет.
Наверное, не стоит предполагать, что перенос срока на год позволит операторам облегченно вздохнуть. По сути, те, кто защищал данные до появления требований по защите ИСПДн, находятся в более выигрышном положении: им необходимо доработать нормативную документацию предприятия, проверить применяемые средства защиты на соответствие текущим требованиям и, возможно, незначительно перестроить информационные потоки. Вне зависимости от пролонгации срока гораздо тяжелее придется тем предприятиям, у которых нет опыта работы с данными конфиденциального характера и необходимых для этого средств. Но самое главное, у них нет штатных специалистов по защите информации, готовых если не проводить весь комплекс работ, то хотя бы грамотно ставить задачи и контролировать привлекаемых лицензиатов ФСБ России и ФСТЭК России для проведения соответствующих мероприятий.
Давайте посмотрим на вопрос с другой стороны. Государственное регулирование на рынке ИБ присутствовало всегда. Но с выходом №1-ФЗ, а позже №152-ФЗ его влияние на информационную безопасность и отрасль ИТ в целом значительно усилилось. Если до принятия закона "О персональных данных" разработчики ИТ-систем уделяли ИБ лишь второстепенное внимание, то с его выходом ситуация изменилась кардинально. Так, 5-10 лет назад проекты обеспечения информационной безопасности информационных систем инициировались, в основном, по мере их ввода в эксплуатацию. Ведущие специалисты, системные интеграторы и архитекторы комплексных систем указывали на необходимость решения вопросов информационной безопасности уже на стадии проектирования, но заказчики, как правило, откладывали эти вопросы до лучших времен. Масштабные, дорогостоящие и трудоемкие внедрения проводились без специалистов по ИБ. №152-ФЗ изменил этот уклад. Вопрос информационной безопасности неожиданно оказался во главе угла, выйдя за рамки узкоспециализированного сектора рынка. Сегодня об этом задумались компании, бизнес. Завтра задумаются и граждане. В тот момент, когда это произойдет, мы заговорим не просто о защите прав субъекта персональных данных, но о ростках культуры информационной безопасности в обществе.
1 - по данным на октябрь 2009г.
Алексей Сабанов, Ника Комарова, Олег Плотников
CNews: Как вы оцениваете во многом "раздутую" усилиями СМИ ситуацию вокруг закона "О персональных данных"?
Алексей Сабанов: Во-первых, обсуждение самого №152-ФЗ уже идёт в рациональном русле. Познавательный этап, который будоражил наш рынок в 2008-ом году и начале 2009 года, постепенно сменила пора взвешенной оценки реальных возможностей российских компаний по выполнению требований закона. Эта мысль последнее время звучит на всех мероприятиях с участием операторов персональных данных, ИТ-компаний, интеграторов, поставщиков решений в области ИБ, а также ФСБ России, ФСТЭК России и Роскомнадзора. Парламентские слушания, которые состоялись 20 октября 2009г., и последующие события показали, что конструктивный диалог бизнеса и государства возможен.