Не так давно мы уповали на то, что стоит ИТ-специалистам научиться говорить на языке бизнеса, как руководители и владельцы предприятий и организаций начнут адекватно воспринимать притязания со стороны ИТ на корпоративный бюджет, перестанут рассматривать ИТ только как расходную часть бизнеса. Ныне федеральный закон № 152 “О персональных данных” (ЗоПД) заставляет ИТ-руководителей все в тех же целях осваивать дополнительно и язык юристов. Чего потребует общество и бизнес от ИТ завтра?
Своим мнением об актуальных проблемах регулирования сферы ИТ с научным редактором PC Week/RE Валерием Васильевым делится директор по информационной безопасности компании “Майкрософт Рус” Владимир Мамыкин.
PC Week: Что подвигло российских законодателей вынести персональные данные (ПД) в отдельную категорию?
Владимир Мамыкин: Побудительный мотив законотворцев нашей страны был прост: межгосударственные отношения, и в первую очередь с нашим ближайшим соседом — Евросоюзом. Там действуют законы, обязывающие определенным образом сохранять ПД при трансграничном взаимодействии на любом уровне — государственном и частнопредпринимательском. Когда оказалось, что у нас нет в явном виде закона, определяющего порядок защиты ПД, российские законодатели приняли решение о разработке такого закона, причем максимально согласованного с международными аналогами.
Замечу, что в США еще до принятия европейских законов появились такие законодательные документы, как акт Сарбейнса — Оксли (SOX), регулирующие обращение критических данных, в том числе ПД, и российские компании, представленные на нью-йоркской бирже, должны были им соответствовать уже за несколько лет до принятия ФЗ №152 (ЗоПД). Вот так, по цепочке деловых отношений, дело дошло и до нас.
PC Week: Нельзя ли обойтись для защиты интересов граждан в области ИТ, в том числе и для защиты ПД, уже действующими законами?
В. М.: Наличие специального закона, сосредоточенного на ПД, свидетельствует о том, что эта область стала важной для нашего общества, что ей уделяется особое внимание. ЗоПД также облегчает для нашей страны интеграционные процессы, такие как вступление в ВТО, трансграничное взаимодействие борющихся с киберпреступностью силовых структур и т. п.
PC Week: Как Microsoft формулирует для себя главные задачи соответствия требованиям закона ЗоПД?
В. М.: Теперь наряду с сертификацией наших программных продуктов для выполнения требований ранее действовавших российских законов мы сертифицируем их также и на соответствие требованиям ФЗ №152.
PC Week: Какие продукты Microsoft стоят на первых позициях в списке на сертификацию во ФСТЭК и ФСБ на соответствие требованиям ЗоПД? Когда их сертификация будет завершена?
В. М.: Процедура сертификации занимает не один месяц. Ряд наших продуктов получил соответствующие сертификаты ФСТЭК и ФСБ еще до появления ЗоПД, а часть из них и сейчас находится в процессе сертификации. Когда был опубликован ЗоПД, ПО Exchange Server 2007, BizTalk Server 2006, SharePoint Server 2007 и некоторые другие проходили завершающие стадии проверки на соответствие руководящим документам ФСТЭК уровня 1Г, на соответствие которому мы обычно проводим сертификацию. Испытательная лаборатория, в которой мы проводили работы, в процессе испытаний сопоставила требования ЗоПД и те, по которым эти продукты проходили сертификацию, и вынесла решение о том, что эти продукты подходят и для использования в системах защиты ПД до класса К2 включительно. Это их решение ФСТЭК утвердило, о чем можно найти подтверждение на сайте ФСТЭК в опубликованном списке сертификатов. В целом, если сопоставить требования ЗоПД и принятые ранее руководящие документы ФСТЭК, то между ними можно увидеть определенное соответствие, так как сертификация на соответствие руководящим документам, изданным да принятия ЗоПД, включают в себя в том числе и ряд требований, зафиксированных в ЗоПД. Поэтому мы ожидаем, что те сертификаты, которые наши продукты (как, впрочем, и продукты других вендоров) уже имеют, без дополнительных проверок получат заключения о том, что они могут использоваться также в информационных системах обработки персональных данных таких-то классов в формулировках требований ЗоПД.
PC Week: Вы рассказали о главных задачах соответствия требованиям ЗоПД для Microsoft как вендора. А каковы они для вашей компании как для одного из многих миллионов российских операторов ПД?
В. М.: На мой взгляд, мы выполняем требования ЗоПД в его сегодняшнем виде. Для этого мы провели ряд мероприятий, начав с реструктуризации базы данных нашего отдела кадров. Но проблема в том, что у этого закона сегодня есть подзаконные акты, имеющие гриф “Для служебного пользования” (ДСП), а потому доступные не всем операторам ПД. Мы же можем следовать только опубликованным, не ограниченным этим грифом, требованиям закона. Насколько я знаю, эта ситуация вскоре должна измениться — Госдума и другие госструктуры, профессиональные и общественные организации настаивают на опубликовании той (значительной) части подзаконных актов, с которых можно снять гриф ДСП.
В противном случае как можно соответствовать этому закону, если неизвестно, чего он требует? Ведь не все операторы ПД могут пользоваться платными услугами лицензиатов ФСТЭК и ФСБ (которые имеют права работы с ДСП-документами этих структур), чтобы с их помощью убедиться, выполняют ли они требования ЗоПД. Как быть, к примеру, практикующему на дому врачу с лицензией Минздрава? Вряд ли у него найдутся средства, чтобы нанять специалистов из таких организаций. Для защиты ПД своих клиентов ему нужно типовое, официально апробированное решение, стоимость которого ему понятна и посильна. Пока же ситуация сложилась непростая. Вообще, я считаю, что в документах подобного рода в принципе не должно быть ничего секретного. Все документы, относящиеся к ЗоПД, изначально нужно было сделать публичными, чтобы общество могло обсудить их, в том числе и стоимость средств защиты ПД, которая сегодня в некоторых ситуациях чрезвычайно высока.
PC Week: Означает ли ваш ответ, что Microsoft считает защищенность своей корпоративной информации адекватной угрозам, но не может оценить ее соответствие требованиям ЗоПД в силу изложенных выше причин?
В. М.: Внутренние требования корпорации к защите своей собственной информации настолько высоки, что у меня нет сомнений, что при любой проверке регуляторов у нас не будет проблем. С появлением ЗоПД мы еще раз пересмотрели защищенность у себя новой категории данных — ПД, усилили требования к защищенности их обработки в России. У нас, в “Майкрософт Рус”, эти данные максимально обезличены, хранятся (на территории нашей страны, а не где-то за рубежом!) в местах с ограниченным физическим и электронным доступом. Как нам представляется, сейчас мы соответствуем самым высоким требованиям к защите ПД, исходя из представления об обеспечении ИБ, соответствующей зрелости нашей компании, и учитывая ту информацию о ЗоПД, которой мы можем сегодня располагать. Кстати, мне известно немало российских компаний, которым тоже не нужно предпринимать дополнительных усилий, чтобы выполнить требования ЗоПД, им остается только пройти формальные процедуры проверки, подтверждающие это соответствие.
PC Week: Зарегистрировалась ли “Майкрософт Рус” в реестре операторов персональных данных Роскомнадзора?
В. М.: Я уже сказал, что нам известны не все требования ЗоПД. Поэтому эти процедуры мы еще не прошли. В таком же положении находится большинство российских компаний, среди них есть и очень крупные операторы ПД. Мне представляется, что более мелкие операторы ПД, в том числе и “Майкрософт Рус”, должны предоставить им приоритет при прохождении надлежащих проверок, чтобы они успели пройти их в отведенные сроки.
PC Week: Российские ИБ-эксперты заговорили о формировании подсегмента российского рынка ИБ — рынка средств защиты ПД. Какое место хотела бы занять Microsoft на этом новом рынке?
В. М.: Как эксперт в области ИБ, я считаю, что возникновение сегмента ИБ-рынка, специально нацеленного на ПД, во многом надуманно. Это результат спекуляций заметной части ИБ-компаний (среди них есть и интеграторы, и вендоры), действия которых во многом основываются на сохраняющихся для большей части операторов ПД формальных неясностях в ЗоПД. “Купи у меня — продукт, решение, услугу,— чтобы выполнить требование ЗоПД, иначе — пропадешь”, — говорят они заказчику. Попавший под такое давление заказчик (в силу своей неинформированности) не в состоянии оценить справедливость таких заявлений.
Когда меня нередко спрашивают, есть ли у Microsoft специальные средства защиты ПД (для медицинских учреждений, страховых компаний и т. д.), я отвечаю, что средства защиты данных не специализируются по типу данных. Вендоры, в том числе и Microsoft, выпускают продукты для безопасной обработки данных вообще, а какие они, эти данные, относятся они к медицине, страхованию, образованию, торговле или другим сферам человеческой деятельности — не играет роли.
Защита ПД является частью обеспечения общей безопасности бизнеса. Сегодня по причинам, о которых я сказал выше, ПД выделили в отдельную категорию, но для разработки специализированных средств защиты ПД, как и для формирования подсегмента рынка таких средств, я не вижу оснований. Пользователям наших продуктов нужно иметь ввиду, что средства, защищающие записи в БД, файлы и прочие структурные элементы данных, не имеющих отношения к ПД, с таким же успехом защищают и ПД. Мы не разрабатываем специальных продуктов для защиты ПД, хотя, как этого сегодня требует российское законодательство, будем сертифицировать (и уже сертифицируем) на соответствие ЗоПД свои основные продукты, такие как Windows Server 2008, SQL 2008, Windows 7, антивирусы и др.
PC Week: Какие общие проблемы порождают современные ИТ в международной законодательной практике? Есть ли у России в этой области своя проблемная специфика?
В. М.: По-моему, следует говорить об общих для всех инноваций законодательных проблемах, а не только для ИТ, поскольку ИТ — только часть инновационного процесса. Наши законотворцы, как показывают мои с ними обсуждения этой проблемы, считают, что торопливость здесь неминуемо ведет к торможению развития излишне поспешно законодательно зарегулированного технологического направления. Законодательные инициативы в области регулирования инновационных технологий основаны на том, чтобы не дать преференций какой-либо одной из них в ущерб другой, не дать зачахнуть правильным росткам, соблюсти технологическую нейтральность, которая, кстати, закреплена у нас законом. Для рынка важны потребительские качества продуктов, а не конкретные технологии, в них используемые. Только такой подход дает возможность развивать творческие инициативы.
Российские законы, регулирующие технологическое развитие, соответствуют мировым требованиям, в том числе и по технологической нейтральности. Однако в некоторых из наших законов, регулирующих ИТ, сделан упор на технологическую составляющую, что ограничивает разнообразие возможных решений, в частности и в области защиты ПД. На мой взгляд, это следствие недостаточной осведомленности многих наших законотворцев о технологических деталях этих законов.
Единственный путь улучшить наши законы, регулирующие инновации, в том числе и в области ИТ, — шире привлекать общество, прежде всего экспертов, для публичного рассмотрения, предварительного осмысления принимаемых законов. Регуляторы зачастую заявляют, что, мол, на их официальных сайтах проекты законов висят по многу месяцев, но ими никто не интересуется. На мой взгляд, это отговорки: либо они хотят обсуждения (и тогда предпринимают необходимые активные действия), либо им нужна “галочка” для отчетности. Только так следует вводить законы, которые требуют резкого увеличения расходов государственного бюджета и бюджетов частных компаний.
PC Week: Благодарю за беседу.