Близится 1 января 2010 г. — дата, начиная с которой “Роскомнадзор”, ФСТЭК и ФСБ получают право требовать от госструктур и коммерческих организаций, ведущих бизнес на территории РФ, полного соответствия закону “О персональных данных” (ЗоПД).
Своей оценкой ситуации вокруг ЗоПД поделился заместитель генерального директора компании Aladdin (ЗАО “Aладдин Р.Д.”) Алексей Сабанов в интервью научному редактору еженедельника PC Week/RE Валерию Васильеву
PC Week: Как вы оцениваете степень готовности широкого круга операторов ПД (ОПД) к вступлению в силу закона “О персональных данных”?
Алексей Сабанов: Картина, на мой взгляд, складывается неоднозначная, как, собственно, и сам закон. Почти все информационные системы обработки персональных данных (ИСПДн), о которых мне известно, являются специальными (а не типовыми), а стало быть, каждую из них предстоит отдельно аттестовать у лицензиатов ФСТЭК (а при использовании средств шифрования еще и у лицензиатов ФСБ). Из примерно 2000 лицензиатов ФСТЭК на вопросах защиты ПД специализируется не более сотни. Каждая процедура обращения к регуляторам (начиная с регистрации уведомления об обработке ПД в “Роскомнадзоре”) требует времени. Так, по принятым нормам только на согласование модели угроз во ФСТЭК отводится десять дней (реально на это уходит времени больше). В среднем же, как показывают наши расчеты, на все процедуры аттестации одного ОПД у лицензиата ФСТЭК уходит 3—6 мес, а количество ОПД в стране около 7 млн. Понятно, что у регуляторов нет достаточно времени и ресурсов на выполнение в разумные сроки предусмотренных ЗоПД рутинных операций.
20 октября в Госдуме РФ проходили парламентские слушания по теме “Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных”. Мнения участников по обозначенной теме практически совпадают. Это было отражено в итоговых рекомендациях слушаний, направленных Президенту страны, Совету при Президенте РФ по развитию информационного общества в Российской Федерации, Федеральному собранию, Правительству РФ, Генеральной прокуратуре РФ, “Роскомнадзору”. Участники слушаний, а среди них были представители министерств и ведомств страны, государственных и частных организаций, единодушны в том, что ЗоПД в его нынешней редакции невозможно трактовать однозначно (вследствие чего, как показывает практика, ОПД уже сталкиваются с избирательностью применения закона), что есть нестыковки между смежными законами и ЗоПД. Большая часть участников мероприятия считает, что и с техническими требованиями к ОПД регуляторы перестарались. Зачем, например, поднимать требования по техническим средствам защиты к ИСПДн первого класса (по утвержденной классификации) на уровень требований к системам, защищающим государственную тайну?
Каждая из сторон пытается сегодня использовать все эти трудности с выгодой для себя: ОПД стремятся защищать ПД формально и по возможности, снизить класс защищаемых систем, а регуляторы настаивают на защите ПД с избыточной строгостью. Следствием всех этих коллизий стала массовая неготовность выполнять требования ЗоПД, и за оставшиеся полтора месяца ситуация принципиально не изменится. Это понимают все охваченные законом структуры. На сегодняшний день уведомления об обработке ПД в Роскомнадзор подало не более 1,5% от общего числа ОПД (т. е. около 80 тыс.). Со вступлением 01.01.10 в силу части 3 ст. 25 № 152-ФЗ госрегуляторы вправе будут проводить плановые проверки и наказывать ОПД за неисполнение закона. Однако сегодня среди ОПД немало таких, которые рассматривают санкции со стороны госрегуляторов как риски, приемлемые для своих бизнесов, т. е. фактически они вообще не намерены выполнять требования закона — дешевле уплатить штраф.
PC Week: Может быть, госрегуляторы поторопились с ЗоПД и его нужно отозвать?
А. С.: На мой взгляд, за прошедшее десятилетие только два закона оказали существенное влияние на область ИБ в нашей стране. Это законы об ЭЦП (№ 1-ФЗ) и ЗоПД (№ 152-ФЗ), и судьба у них складывается примерно одинаково. Оба закона принимались под давлением международных требований, и при реализации обоих законов мы шли “своим путем”, игнорируя опыт других стран, что в результате заставляет нас мучительно приводить их в соответствие с международным правовым полем. Как без этого защищать ПД, например, при страховании туриста во время зарубежной поездки?
Не стоит забывать, что ЗоПД принимался ради решения важной социальной задачи — защиты интересов населения страны в части охраны личной информации. Сегодня в стране около 2000 государственных и смежных с ними баз данных (БД). Нас учитывает и Пенсионный фонд, и Федеральная налоговая служба, и Фонд социального страхования, и Минздрав… И вокруг этих БД промышляет и кормится криминальная индустрия продажи ПД. Приходится признать, что проблема защиты ПД граждан сегодня на государственном уровне не решена. Конечно, порядка прибавилось, например, украденные БД с персональными данными граждан ушли с развалов радиорынков и лотков в переходах метро. Зато они появились в Интернете. Решить эту проблему без ЗоПД не получается.
Вместе с тем участники парламентских слушаний предложили отложить применение ч. 3 ст. 25 № 152-ФЗ (т. е. исполнение требований к ОПД по обеспечению безопасности ПД). Нужно срочно редактировать нормативные документы, создавать типовые отраслевые решения по защите ПД, определять по отраслям, кто это будет делать. Решение проблемы будет зависеть от государственного подхода, ведь именно государство у нас является самым крупным ОПД.
Сейчас регуляторы начали понимать, что нужно в чем-то ослабить требования к ОПД, а ОПД стали соглашаться, что ПД им все равно нужно защищать. Этот мой вывод подтвердили также результаты VI конференции “Практические вопросы обеспечения информационной безопасности”, которую компания Aladdin провела в октябре. Среди участников процесса зреет взвешенный подход и к срокам — за какое время ОПД реально смогут сделать необходимые шаги по разделению информационных потоков, выделению ПД в отдельную категорию, по персонализации доступа к ПД, регуляторы — формализовать процедуры проверок операторов, а разработчики средств защиты информации — учесть специфику защиты ПД в своих продуктах. Иначе нам не избежать избирательного применения ЗоПД и нового витка борьбы с коррупцией.
PC Week: Почему так болезненно переживают вступление в силу ЗоПД даже зрелые в области ИБ компании, например банки? Казалось бы, они давно научились защищать информацию.
А. С.: ЗоПД предъявляет к операторам персональных данных требования, которые допускают множество трактовок, позволяют избирательное применение, содержат несостыковки с ведомственными и федеральными требованиями. Все без исключения ОПД, в том числе и те из них, которых отличает высокая зрелость в области ИБ, недовольны тем, что ЗоПД требует от них весьма ощутимых дополнительных затрат. Возьмем, к примеру, биллинговые системы операторов связи (которые, кстати, наряду с банкирами тоже умеют защищать критическую для своего бизнеса информацию). Непонятно, как на эти системы можно наложить решения по шифрованию ПД, пусть даже это будут хорошие, проверенные в других ИТ-инфраструктурах промышленные решения. От такого вмешательства производительность действующей биллинговой системы может упасть на 20—30%, а для операторов связи сегодня это как раз соответствует порогу устойчивости их бизнеса. А если просадка будет больше? Кстати, осуществить переход абонентской БД со старого биллинга на новую систему, соответствующую требованиям ЗоПД, тоже совсем непросто. Это напряженная работа на год — полтора для большого коллектива специалистов. Где операторам связи взять на это средства и время? Аналогичные проблемы возникают в связи с ЗоПД и в других отраслях.
PC Week: Несмотря на упомянутые проблемы, от многих экспертов можно слышать о положительном влиянии ЗоПД на ИБ-рынок страны. Каково ваше мнение на этот счет?
А. С.: У меня тоже положительная оценка общего влияния ЗоПД на российский рынок ИБ, хотя скачка продаж, которого ожидали ИБ-разработчики, не случилось. ИБ-рынок развивается эволюционно, движимый, прежде всего, технологической инновационностью, не связанной с влиянием госрегулирования. ЗоПД породил всплеск внимания к проблемам ИБ в общем и к защите ПД в частности. ИБ-разработчики задумались о соответствии своих продуктов требованиям регуляторов, занялись доработками, идет волна сертификации тех ИБ-продуктов, которые производители сумели вывести на качественно новый уровень. Это хорошо для государства, поскольку поднимается общий уровень ИБ, хорошо для бизнеса, поскольку расширился выбор средств защиты ПД, хорошо для граждан, у которых появилась надежда на повышение надежности защиты их персональных данных.
PC Week: Благодарю за беседу.