Позиция Федеральной службы по техническому и экспортному контролю России (ФСТЭК) по поводу актуализации практики применения закона “О персональных данных” без преувеличения является важной, особенно накануне 1 июля, когда в очередной раз власти обещают начать применять этот закон в полную силу. Некоторыми важными деталями об этом поделился начальник отдела управления ФСТЭК Виктор Жарчинский на состоявшемся в рамках выставки “Связь-Экспокомм-2011” семинаре “Содействие в создании понятной, непротиворечивой и предсказуемой нормативно-правовой среды развития российских инфокоммуникаций”, который провела Ассоциации документальной электросвязи.
В частности, он рассказал о результатах проверок, которые ФСТЭК, несмотря на неоднократные переносы старта полномасштабного применения ФЗ № 152, начала проводить в 2010 г. среди операторов связи. В числе проверяемых были упомянуты “ Мобильные ТелеСистемы”, “Вымпелком”, “Дальневосточная компания электросвязи”, “Северо-Западный Телеком”, “Мегафон”, “Ростелеком”, “Комстар”, “Русская Телефонная компания” и др.
Проверки, как сообщил г-н Жарчинский, носили выборочный, ознакомительный характер, и тем не менее, по мнению проверяющих, они активизировали действия российских связистов в области защиты ПД. К марту текущего года во ФСТЭК было рассмотрено более 130 документов от 49 заявителей, из них 48 документов были представлены 14 операторами связи. В 2010 г. ФСТЭК также рассмотрела представленный Минкомсвязи проект модели угроз персональным данным в отрасли связи, обрабатываемым в типовых и специальных информационных системах.
Среди выявленных в ходе проверок недостатков ФСТЭК отмечает, с одной стороны, необоснованное завышение класса информационных систем обработки персональных данных (ИСПДн), а с другой — снижение класса ИСПДн без достаточного обоснования неактуальности соответствующих угроз в частной модели угроз (наиболее часто это встречалось специалистам ФСТЭК в ИСПДн высокого класса в отношении контроля утечек по техническим каналам). Нередко проверяющим встречались лишние, не предусмотренные конечной целью использования ИСПДн процедуры обработки ПД. Нарекания со стороны ФСТЭК вызывают также искусственный переход от автоматизированной обработки ПД к обработке без использования средств автоматизации и, с помощью этого, уклонение от выполнения требований закона. Было отмечено отсутствие у проверяемых учета использования магнитных и других видов носителей данных, а также отсутствие заключений о возможности эксплуатации используемых средств защиты информации в составе ИСПДн и учета применяемых средств защиты, в том числе от несанкционированного доступа.
ФСТЭК разрабатывает нормы и требования по защите ПД, доводит их до исполнителей и, подготавливая методики, помогает их обеспечивать. На эту службу возложены контроль и надзор за достаточностью мер соответствия требованиям ФЗ № 152. По мнению г-на Жарчинского, охватить армию операторов ПД своими силами ФСТЭК не сможет. Поэтому, как он считает, целесообразно создавать механизмы, позволяющие структурировать систему контроля.
Обобщение результатов проверок позволило ФСТЭК сделать заключение о том, что затраты на построение ИСПДн могут составлять до 10% от стоимости защищаемых ресурсов. В силу непрозрачности области обеспечения корпоративной ИБ в нашей стране сделать заключение о том, сколько это может составлять в денежном выражении, представляется затруднительным, тем более что закон “О персональных данных” контролирует техническую сторону защищенности ПД и никак не оговаривает размеры штрафов за их утечки. Тем не менее ФСТЭК согласна с высокой обременительностью для операторов ПД выполнения требований ФЗ № 152.
Для оптимизации этих затрат специалисты ФСТЭК рекомендуют применять оптимизацию категоризации обрабатываемых ПД, а также структур используемых информационных систем, процессов и алгоритмов обработки, в том числе локализацию ПД в защищенных сегментах, что может обеспечить разделение ИСПДн на подсистемы различных классов. ФСТЭК также советует оптимизировать состав применяемых организационно-технических мер, проводить верификацию используемых средств защиты. Следуя этим рекомендациям по оптимизации, можно, по мнению г-на Жарчинского, построить надежную систему защиты ПД, удовлетворяющую требованиям закона.
За полтора месяца до вступления в силу (после очередного переноса) статьи 25 закона “О персональных данных”, а вместе с нею и закона в целом еженедельник PC Week/RE подвел итоги ответов на обращенный к его читательской аудитории вопрос “Что в нынешней ситуации с законом “О персональных данных” выгоднее — соответствовать ему или нет?”
Приходится констатировать, что примерно за пять лет существования этого закона ни его как широкое, так и кулуарное обсуждение, ни его доработки в законодательных органах не привели, если верить результатам опроса, к доминированию какой-либо одной позиции в отношении к нему. Из наших респондентов 41% предпочитает сегодня уклоняться от соответствия, 38% проявляют законопослушность, а 22% все еще не могут определить свою позицию в отношении к ФЗ № 152. Следует отметить, что компаний (среди опрошенных) с количеством компьютеризованных рабочих мест свыше 500 было 27%, с количеством от 25 до 500 персональных компьютеров — 59% и с числом компьютеризованных рабочих мест до 25— 14%.
В настоящее время закон “О персональных данных” находится на пересмотре в Госдуме. Концептуально планируется ограничить требования закона и ориентировать его только на ИСПДн государственных структур. Не исключено, что приведение в действие статьи 25 ФЗ № 152 будет перенесено в очередной раз. Об этом много говорят в ИТ-сообществе. Возможно, это даст шанс успеть тем, кто недавно “открыл” для себя закон “О персональных данных” (до совсем недавнего времени такие операторы ПД не были редкостью в стране). Но тех, кто, как говорится, давно в теме, перенос сроков, по мнению регуляторов, только расслабляет. “Мне кажется, что на сегодняшний день охвачены все операторы ПД и переносить принятие закона нецелесообразно. Лучше начать работать, а дальше будет видно, к чему это приведет”, — считает г-н Жарчинский.