До вступления в силу закона “О персональных данных” (ЗоПД) остается менее года. Принят он Госдумой 8 июля 2006 г., а накал обсуждения связанных с ним проблем не снижается до сих пор. “Многое в этом законе еще нужно понять, а кое-что исправить”, — полагает ведущий советник Комитета Госдумы по безопасности Елена Волчинская, которая вела на “Инфофоруме-11” круглый стол по применению ЗоПД.
Проблемы, которые хотелось бы успеть устранить до вступления закона в силу, по мнению Елены Волчинской, можно разделить на три категории: организационные, финансовые и правовые.
Организационные проблемы связаны с недостаточностью ресурсов Россвязькомнадзора — федерального органа исполнительной власти, уполномоченного защищать права субъектов ПД, обеспечивать контроль и надзор за соблюдением операторами требований ЗоПД. Решать эти проблемы можно, увеличив штат этого органа. Но можно пойти и по другому, более предпочтительному для всех пути — разумно сократить регулируемую законом сферу. Именно такого подхода стремятся придерживаться законодатели, корректируя ЗоПД.
Что касается финансовых проблем, то в госбюджетных организациях, в числе которых операторы с самыми крупными в стране базами ПД, расходы на обеспечение соответствия требованиям ЗоПД практически не были предусмотрены. Вначале федеральное правительство посчитало, что новый закон не потребует дополнительных затрат, а сейчас, когда выясняется, что это не так, наступило совсем неблагоприятное для увеличения финансовых расходов время.
Правовые проблемы связаны с противоречиями между ЗоПД и уже действующими законами, регулирующими область ИТ, а также с сохраняющейся до настоящего времени неурегулированностью и неточностью формулировок в этих законах. Так, в российских законах до сих пор нет понятия информационной безопасности — краеугольного для организации защиты информации. Ни в одном из законов не описано, как увязать между собой понятия об информации с ограниченным доступом, информации конфиденциального характера и конфиденциальной информации, которые существуют в правовом поле одновременно. Это порождает целый комплекс противоречий, из-за которых пробуксовывают законы, связанные с ИТ, в том числе и ЗоПД.
Как считает Михаил Емельянников, директор по развитию бизнеса НИП “Информзащита”, урегулировать упомянутые правовые противоречия в рамках одного ЗоПД невозможно, а значит, бесконфликтный старт этого закона требует комплексной редакции всех законов, касающихся информации.
Людмила Терещенко, заместитель заведующего отделом Института законодательства и сравнительного правоведения при Правительстве РФ, полагает, что единого правового режима работы с ПД пока не сложилось, поэтому неслучайно в Думе лежит проект закона о внесении изменений в ЗоПД. “Защита прав субъектов ПД — вот ради чего разрабатывался ЗоПД. Но за два года его существования ничего не изменилось: как продавались на пиратских развалах лично мои ПД, так и продаются, как не было лично у меня возможности влиять на это, так и не нет — сказала она. — Нужно посмотреть, как реально можно защищать права субъектов ПД. Хотелось бы оценить эффективность законодательных норм ответственности с этой стороны, ведь привлечение к ответственности оператора ничего не меняет для субъекта ПД”.
Начальник управления по защите прав субъектов ПД Россвязькомнадзора Лариса Васильева оценивает ситуацию с защитой прав субъектов ПД более оптимистично. Как она сказала, за 2008 г. от субъектов ПД в Россвязькомнадзор поступило более 150 обращений, связанных с нарушением ЗоПД. В результате проверок примерно по половине этих обращений факты были подтверждены и приняты меры в рамках закона.
К моменту начала действия ЗоПД разные компании подходят с разным настроением и разной степенью готовности. Так, заместитель начальника Главного управления безопасности и защиты информации Банка России Андрей Курило заявил, что в его учреждении вопросы по защите ПД закрыты уже на 98%. В то же время, как отметили другие выступавшие, у некоторых операторов вопрос о защите ПД до сего времени даже на рассматривался, несмотря на то что общие задачи защиты ПД относятся к области информационной безопасности в целом.
Многие, оправдывая свою нерасторопность, ссылаются на отсутствие средств. Действительно, по самым общим подсчетам аттестация помещения с одним рабочим местом на соответствие действующим законодательным нормам стоит примерно 100 тыс. рублей. Но это, если решать задачи защиты ПД с нуля и в лоб. Подавляющему большинству операторов не нужно заново строить систему защиты информации — задача заключается в том, чтобы правильно организовать уже имеющиеся средства, а это уже совсем другие деньги. По оценкам специалистов компании “Информзащита”, имеющихся на рынке сертифицированных средств защиты информации вполне достаточно для реализации всех требований ФСТЭК и ФСБ, вытекающих из ЗоПД, и проблема заключается только в их правильном применении.
Михаил Емельянников призывает при следовании букве закона больше ориентироваться на здравый смысл, что позволит опустить планку формальных требований и, стало быть, снизить затраты. Он напомнил, что минимизировать затраты на построение информационных систем по обработке ПД (ИСПДн) можно, организуя доступ к ПД только тем работникам, которые реально участвуют в их обработке. Кроме того, нужно эффективно использовать механизм обезличивания персональных данных.
Елена Голованова, генеральный директор компании “ИнфоТехноПроект”, обратила внимание участников круглого стола на то, что операторам следует начинать вовсе не с технической защиты ПД и даже не с требуемого по закону уведомления уполномоченных органов о своей операторской деятельности.Прежде всего, рекомендует она, нужно определить категорию существующих у оператора ПД, их объем и цели обработки. Практика показывает, что зачастую операторы работают с избыточными объемами данных без оценки того, какие из них им реально необходимы для выполнения своих задач.
Такое начало должно помочь операторам разработать класс весьма полезных для дальнейшей деятельности документов, главным среди которых должно стать “Положение об обработке ПД компанией-оператором”. Создание такого документа позволит операторам осознать слабые места во взаимодействии с субъектами ПД. Далее следует составить “Инструкцию по обработке ПД”, описывающую порядок обработки ПД в цепи бизнес-процессов оператора. Эти и ряд других подобных документов позволят формализовать обработку ПД и минимизировать связанные с этим риски. Завершить стартовые организационные работы над построением ИСПДн должен приказ о назначении лица, ответственного за обработку ПД.
Елена Голованова высказала надежду, что при доработке ЗоПД организационная сторона деятельности операторов ПД будет прописана четче, а уполномоченные органы надзора за соблюдением ЗоПД будут обязаны разработать необходимые методические планы, которые дадут операторам базу для подготовки документов, помогающих, как выразилась г-жа Голованова, “не отбиваться от контролирующих органов, а взаимодействовать с ними на равных в целях правомерной обработки ПД”.
Сегодня даже между регуляторами нет единого мнения о необходимости переноса сроков начала действия ЗоПД. Так, Елена Волчинская полагает, что у госоператоров для того, чтобы успеть к назначенной дате, нет ни специалистов, ни помещений, ни денег, тем более что ЗоПД предстоит еще уточнять. Не завершил свою работу ФСТЭК над документами, касающимися требований к защите технических каналов связи и информации ограниченного доступа. Как заявляют представители этой службы, готовы эти документы будут не ранее I квартала текущего года. У Россвязькомнадзора, главного надзирающего за исполнением ЗоПД органа власти, тоже есть отвлекающие от текущей работы проблемы — сейчас он находится в процессе реорганизации.
Несмотря на всё это заместитель руководителя управления ФСТЭК Александр Богданов считает, что оставшегося времени достаточно: “За 2008 г. все операторы могли оценить необходимые объемы работ и затрат. В течение 2009 г. нужно реализовать необходимые мероприятия для дооснащения своих информационных систем. Максимум работ — во всяком случае, в органах федеральной власти — уже выполнен”.
Как считает г-жа Волчинская, в обсуждении проектов нормативно-правовых актов разного уровня, в том числе и ЗоПД, недостаточно участвует общественность. “Открытое обсуждение сделало бы наши законы более точными. Если бы при органах исполнительной власти работали общественные советы, если бы они участвовали в обсуждении проектов законов, если бы проекты публиковались в Интернете, обсуждаемых сегодня проблем мы могли бы избежать или устранить их на более ранних этапах”, — полагает она.
Поскольку ЗоПД касается каждого из нас, возможно, имеет смысл начать такой диалог, не дожидаясь, как говорится, когда жареный петух клюнет. Ведь мнение граждан (а субъектом ПД является любой из нас), если верить заявлениям представителей власти, еще может быть учтено — закон пока находится на доработке.