Перед уходом на летние каникулы Госдума намерена принять новую редакцию закона № 152-ФЗ “О персональных данных” (ЗоПД). Готовящиеся изменения должны заполнить смысловые пробелы, упростить трактовку и применимость закона, уточнить принципы и основные понятия регулирования защиты персональных данных (ПД). Так, обещается, что в новой редакции будет введено понятие обработчика ПД, упростится процедура получения согласия субъектов персональных данных на обработку ПД, будут установлены правила трансграничной передачи ПД, определены возможности защиты ПД в рамках действующих режимов тайн и выделены в отдельную статью организационные меры, которые операторы ПД должны предпринимать для защиты прав субъектов ПД.
По результатам парламентских слушаний регулирование технических мер защиты ПД рекомендуется распространить на информационные системы государственных и муниципальных структур, а негосударственным предприятиям предоставить возможность решать эти задачи самостоятельно. Госдума старается уместить в законе все требования, чтобы свести к минимуму подзаконное регулирование.
Заявляется, что позиция правительства в области защиты ПД состоит в том, чтобы субъекты ПД были уверены в надежности защиты их ПД в любой системе — как государственной, так и частной. При этом, считают в Госдуме, в формировании требований к защите ПД в государственных и частных структурах нужно учитывать, что со всеми иными структурами, кроме государственных, субъекты ПД вступают в отношения добровольно и могут выбирать наиболее надежных операторов. По мнению законодателей, правила технического регулирования должны устанавливаться отраслевыми документами, разработанными либо органами власти, либо профессиональными ассоциациями, либо самостоятельно операторами ПД.
Как заявляют представители госрегуляторов, нового переноса сроков разработки ЗоПД не планируется. Есть надежда, что отредактированный вариант закона будет гораздо более приемлемым для практического использования. Возможно, в нём появятся положения, стимулирующие операторов ПД активнее разрабатывать отраслевые стандарты, отчасти ориентируясь на государственные требования и отчасти — на отраслевую специфику.
ЗоПД: необходимость и значимость
Всё, о чем упомянуто выше, ожидается. А теперь предоставим слово нашим экспертам, которые выскажутся по поводу существующего положения дел с законом. Практически все они полагают, что закон, регулирующий защиту ПД, нужен России как механизм защиты личной информации граждан. Раскрывая этот общий тезис, Виктор Сердюк обращает внимание на то, что ЗоПД позволяет гармонизировать российское законодательство в области защиты ПД с аналогичными нормами стран Западной Европы и США, что, собственно, и было главным мотивом его инициализации. Необходимость ЗоПД, по мнению Виктора Сердюка, обусловлена также и тем, что подавляющее большинство операторов ПД изначально не заинтересовано в защите персональных данных, которые у них обрабатываются. Поэтому безопасное обращение ПД должно регулироваться извне — государством, предоставляющим субъектам ПД инструмент для защиты своих прав.
По словам Михаила Левашова, фактически ЗоПД является первым законом в стране, обязывающим операторов персональных данных хотя бы что-то делать в области информационной безопасности (ИБ): “Если учесть, что многие законодательно определенные тайны — тайна страхования, связи, налоговая, врачебная, семейная и т. д. — по сути содержат ПД, то появление ЗоПД фактически установило требования и по обеспечению этих тайн”.
Павел Сундеев обращает внимание на то, что закон регламентирует обмен ПД между участниками информационных отношений — субъектами ПД, госорганами, коммерческими структурами — с учетом глобализации информационного пространства, а также регулирует доступ органов госвласти (и, что особенно важно на его взгляд, сотрудников правоохранительных органов) к сведениям о частной жизни граждан в условиях массового перевода ПД в электронный вид.
Ссылаясь на зарубежный опыт, где сначала получили массовое распространение преступления типа “кражи личности” и только потом были приняты законы против них, Николай Федотов полагает, что для нас ЗоПД является преждевременным. “В России кражи личности по большому счёту еще не начались, а начнутся они не раньше, чем станет массовым дистанционное предоставление услуг гражданам. А в этом деле у нас ещё конь не валялся”, — говорит он. Однако почему бы нам не поучиться на чужих ошибках и постараться не допустить массовости “краж личности"?
Влияние закона на российский рынок ИБ
На протяжении последних лет ЗоПД является одним из основных драйверов роста российского рынка ИБ, способствует увеличению продаж ИБ-продуктов и консалтинговых услуг. Даже во время кризиса во многом именно благодаря этому закону рынок ИБ показывал положительную динамику. По наблюдениям Евгения Акимова, примерно половина российских компаний и организаций в последние два года вкладывались только в защиту ПД. Многие вендоры, в том числе и иностранные, столкнувшись с этим, озаботились сертификацией своих продуктов в соответствии с требованиями ЗоПД. В результате российские сертификаты получили и многие хорошие зарубежные продукты.
ЗоПД, по мнению Виктора Сердюка, обязал многие российские предприятия принять меры по защите не только ПД, но и конфиденциальной информации в целом; во многих компаниях появились ответственные лица и подразделения по защите информации, внедрены комплексные ИБ-системы, разработаны комплекты документов, позволяющих формализовать процессы обработки и защиты информации.
Виктору Сердюку оппонирует Александр Токаренко, указавший на то, что в большинстве госорганизаций на протяжении последних двадцати лет на ИБ не выделялись средства при том, что для этой категории учреждений требования регуляторов по защите информации были обязательными и до принятия ЗоПД. Поэтому, по его мнению, госструктуры, которые по факту являются операторами самых больших объемов ПД, не скоро выйдут из удручающего состояния в области информационной безопасности.
С Александром Токаренко согласен Михаил Емельянников, который тоже обращает внимание на то, что денег на выполнение требований ЗоПД госбюджетным структурам за все время действия этого закона так никто и не дал. Из-за дефицита ресурсов задачу там в основном решают за счет принятия организационных мер или убеждая регуляторов признавать почти все угрозы оператора ПД неактуальными и ограничиваться парольной и антивирусной защитой. Согласно наблюдениям Михаила Емельянникова, так сегодня поступают медицинские учреждения, ссылаясь на согласованные со ФСТЭК методические документы Минздравсоцразвития.
В бизнесе, считает он, движение в сторону соответствия ЗоПД более заметно: “Делают, потому что боятся”. Богатые компании, по его наблюдениям, добились немалых результатов в создании систем защиты информации, но связь их с защитой ПД весьма относительна. Банки, операторы связи, крупнейшие холдинги топливно-энергетического комплекса и промышленности и без ЗоПД заботились об ИБ. “После принятия ЗоПД им нужно лишь обеспечить формальную связь принятых ранее мер с обязательными требованиями по защите ПД, ну, может быть, кое-что “докрутить»”, — считает Михаил Емельянников. Средний и малый бизнес, на его взгляд, закон пока игнорирует, руководствуясь “здравым прагматизмом”. Штраф в 10 тыс. рублей им выплатить проще, чем построить защиту ПД за два миллиона.
Затянувшаяся история с перманентными трансформациями ЗоПД, как считает Евгений Акимов, ставит в неудобное положение законопослушных операторов ПД. Получается, что те из них, кто на протяжении последних лет вкладывался в защиту персональных данных, потратили время и деньги не на то, что нужно, и что-то из сделанного придётся переделывать. “Таким образом, выиграли те, кто занимал выжидательную позицию, а это нечестно”, — констатирует он.
Для регуляторов, по словам Евгения Акимова, ЗоПД стал “еще одним способом регулировать все, что можно, у всех подряд, чем они уверенно и пользуются”. Законодатели же, по его мнению, особенно перед 1 июля в ходе, как он выражается, “свистопляски с поправками Резника и поручением президента”, еще раз подтвердили, что написание внятных законов для них — задача неподъемная.
По мнению Александра Токаренко, ЗоПД поставил бизнес-структуры перед необходимостью наряду с расходами на обеспечение ИБ как таковой тратить большие средства еще и на защиту от рисков, связанных с несоответствием закону. К тому же, по его наблюдениям, на гребне волны роста российского рынка ИБ, вызванного действием ЗоПД, появилось много компаний, выдающих себя за ИБ-провайдеров, деятельность которых не имеет ничего общего с реальной защитой информации заказчика.
Со своей стороны, Лев Матвеев видит, что действующая редакция закона просто стала “кормушкой” для системных интеграторов. А Николай Федотов отмечает, что наряду с дополнительным спросом на услуги по “приведению в соответствие”, объем которого он оценивает примерно в 100 млн. рублей в год, закон породил ещё примерно такого же размера взятки, не оказав при этом заметного влияния на общее состояние ИБ как таковой ни в госорганизациях, ни в бизнесе, ни в быту.
Комментируя основные результаты влияния ЗоПД на рынок ИБ, Николай Федотов говорит о некотором количестве новых рабочих мест, связанных с утрясанием вопросов защиты ПД и должным юридическим оформлением этих процедур, а также о появлении новых коррупционных связей и обязательств, поскольку зачастую связанные с защитой ПД вопросы решаются, как он говорит, “не по закону, а так, как дешевле”.
Алексей Раевский констатирует, что превращения ЗоПД в основного драйвера роста российского рынка ИБ так и не произошло. “Бурные дискуссии, сопровождающие непростую судьбу этого закона, позволили поддержать интерес к ИБ со стороны бизнеса на высоком уровне. Однако говорить о его кардинальном влиянии на отрасль было бы преувеличением”, — полагает он.
Основные итоги пяти лет существования закона
Борис Симис считает, что действующая редакция ЗоПД направлена не на то, чтобы стимулировать компании, работающие с персональными данными, научиться защищать их, а скорее на то, чтобы они учились проходить проверки регуляторов, т. е. оператор ПД несет более высокие убытки в том случае, когда не проходит проверку, нежели когда допускает реальную утечку данных. Это стимулирует операторов строить “потемкинские деревни” вместо реальной защиты ПД. “Должны быть разработаны системы штрафов за утечки ПД, которые заставят компании беспокоиться о защите информации”, — говорит он. На его взгляд, ЗоПД не реализует и механизма защиты интересов субъектов ПД, поскольку процедуры действий в случаях нарушений этого закона не прозрачны для них.
На принципиальные ошибки в ЗоПД указывает Владимир Чаплинский, отмечающий смешение базовых понятий в нем — понятия данных (взятого из математики) и понятия тайны (частной, личной, семейной, взятого из социальной сферы). По его мнению, вопросы регулирования неприкосновенности частной жизни, защиты личной и семейной тайны достаточно четко прописаны в Конституции РФ, в Гражданском кодексе и других законодательных актах. Он считает, что ЗоПД должен регулировать отношения в сфере обработки и применения именно тех ПД, которые действительно позволяют идентифицировать личность, вопросы хранения, обработки и применения именно таких данных.
Владимир Чаплинский отмечает, что в ЗоПД сегодня нет даже четкого толкования понятия ПД и их категорий. По его словам, закон не должен быть рамочным и “разъясняться” подзаконными актами, не должен отсылать к другим законам, в какой-либо мере затрагивающим защиту ПД. Он хотел бы видеть системный подход при определении требований по защите информации ограниченного доступа и ПД. Вопросы классификации информационных систем по требованиям безопасности и сами требования должны определяться, на его взгляд, законом № 149-ФЗ “Об информации, информационных технологиях и о защите информации”: “Он должен быть системообразующим, обеспечивать единство требований по всем видам тайн, определять классы информационных систем и требования к ним. Другие законы о тайнах (тот же ЗоПД) должны давать четкое определение данного конкретного вида тайны, ее категорий, условия отнесения к данной тайне и ее категориям, особенности ее защиты (именно особенности), соотношения с другими видами тайн”.
Михаил Левашов тоже фиксирует внимание на том, что закон в нынешней редакции вместе с сопровождающими его нормативными актами содержит много недостатков, которые были выявлены в том числе и из практики применения. У операторов персональных данных есть вопросы о необходимости столь жесткого госрегулирования защиты ПД в частных структурах, об очень высокой (в некоторых случаях) стоимости таких проектов, об определенных нестыковках требований ЗоПД к уничтожению данных с требованиями других актов, о технической невозможности в ряде случаев давать предусмотренные законом ответы субъектам ПД и т. д. “Мы ожидаем, — говорит он, — что эти и другие проблемы будут разрешены в новой редакции закона”.
В том, что требование использовать только средства защиты информации, прошедшие процедуру оценки соответствия, перенесено непосредственно в закон, Павел Сундеев видит ухудшение положения операторов ПД, поскольку когда эта норма была в подзаконных актах, ее, по его мнению, можно было обойти принятием отраслевых стандартов безопасности ПД. Новая редакция, как он считает, не решает многих проблем организации обработки персональных данных, таких, например, как проблема уничтожения ПД с истекшими сроками хранения в электронных архивных базах.
Как положительный факт Павел Сундеев отмечает появление в новой редакции возможности разрабатывать стандарты обеспечения безопасности ПД в отрасли или даже в организации, которые можно сделать более адекватными реалиям по сравнению с требованиями документов ФСТЭК и ФСБ.
Оценки перспектив закона, представленные Михаилом Емельянниковым, пессимистичны, хотя он и признает, что закон, особенно нашей стране, очень нужен: “Правовой нигилизм, игнорирование законов, пренебрежение правами и свободами — это всё о нас. Чтобы с этим бороться, нужны законы, контроль за их исполнением и наказание нарушителей. Но нужен совсем не такой закон, какой был принят, и уж тем более не такой, какой, похоже, будет принят 1 июля. Потому что главным назначением ЗоПД должна быть реальная защита прав граждан на тайну частной жизни и на доступ к информации о себе. Главное же назначение действующего закона и, самое страшное, того, который, возможно, будет принят, я вижу в проверке выполнения формальных требований. Кому это, кроме регуляторов, нужно, я не знаю”.
Михаил Емельянников обращает внимание на то, что на сайте Госдумы накануне принятия новой редакции вывешиваются и снимаются варианты законопроекта, по духу радикально отличающиеся друг от друга. По его наблюдениям, есть вероятность того, что будет принята редакция, которая ситуацию только ухудшит: тиски регуляторов станут жестче, а баланс интересов оператора и субъекта изменится незначительно.
Результаты проверок госрегуляторов
На нынешний год Роскомнадзор запланировал примерно в три раза больше проверок, чем было в 2010-м. В прошлом году по результатам проверок Роскомнадзор выдавал операторам ПД предписания в четыре раза чаще, чем в предыдущем. Возросла и общая сумма взимаемых штрафов, что свидетельствует о росте их количества и величин. В 2010 г. более чем в пять раз выросло количество обращений в Роскомнадзор, из которых 22% было обращениями за разъяснениями, а все остальные — с жалобами от субъектов ПД. И хотя 596 (42%) жалоб признаны необоснованными, более пятисот жалоб направлены Роскомнадзором в прокуратуру.
У ФСТЭК, которая проверяет операторов персональных данных на соответствие техническим требованиям ЗоПД, на этот год запланировано около ста проверок. Это существенно меньше, чем у Роскомнадзора. Вместе с тем нужно учитывать, что ФСТЭК часто приходит и с неплановыми проверками по результатам проверок Роскомнадзора. ФСТЭК не имеет права запрашивать доступ к обрабатываемым ПД, зато ее проверки более детальны и могут повлечь более тяжелые в сравнении с проверками Роскомнадзора последствия: ФСТЭК может инициировать конфискацию технических средств, не соответствующих требованиям ЗоПД.
Ну и напомним, что третий проверяющий выполнение требований ЗоПД — ФСБ — контролирует криптографические средства, используемые в информационных системах персональных данных. По мнению Михаила Емельянникова, включение в план проверок ФСБ на 2011 год средних школ, лицеев и сельхозтехникумов оптимизма операторам ПД не добавляет.
Согласно наблюдениям Павла Сундеева, территориальные органы ФСТЭК и ФСБ России, как правило, неадекватно оценивают выполнение требований по защите ПД. Их оценки часто расходятся с документами, согласованными в центральных органах этих организаций (например, по моделям угроз безопасности ПД). Он считает, что сказывается низкая компетентность сотрудников территориальных подразделений регуляторов и операторов ПД, которые участвуют в проверках. В целом же оценить конкретные результаты проверок ФСТЭК и ФСБ, по мнению наших экспертов, не представляется возможным в силу закрытости данной информации.
Виктор Сердюк обращает внимание на то, что многие операторы персональных данных приступают к мероприятиям по защите ПД только тогда, когда получают уведомление о проверке со стороны того или иного регулятора. “В этом случае с большой долей вероятности они не успевают реализовать полный комплекс мероприятий по защите ПД”, — констатирует он.
Говоря о проверках Роскомнадзора, Александр Токаренко отмечает рост квалификации проверяющих и в то же время низкую компетентность проверяемых, что порой заставляет их соглашаться и с теми “грехами”, в которых они не повинны.
По наблюдениям Михаила Емельянникова, Роскомнадзор регулярно запрашивает у проверяемых документы, не установленные обязательными требованиями к проверкам, настаивают на предъявлении письменного согласия субъекта ПД для любой обработки. Зачастую проверки сводятся к штрафам за неуведомление Роскомнадзора о начале обработки ПД и несоответствие представленной и фактической информации (ст.19.7 Кодекса РФ об административных правонарушениях — КоАП). Наказания за нарушение порядка обращения ПД (ст.13.11 КоАП), как считает Михаил Емельянников, не работают, поскольку накладываются они прокуратурой, срок давности у них три месяца и к тому времени, когда документы по проверке попадают к прокурору, срок этот, как правило, истекает.
Алексей Раевский отмечает, что объектом проверок становится в основном корпоративная документация, относящаяся к защите ПД, а не реальная ситуация с их защитой. Поэтому с позиции формального соответствия закону эти проверки скорее всего положение улучшают, а вот идут ли они на пользу субъектам ПД, остается, по мнению Алексея Раевского, вопросом открытым, правда, не к проверяющим органам, а к закону.
Николай Федотов обращает внимание на то, что регуляторы проверяют соответствие не закону, а подзаконным актам, которые пишутся и меняются теми же самыми ведомствами, что проводят проверки. Самые трудноисполнимые и “взяткоёмкие”, по его мнению, требования содержатся именно в ведомственных документах.
На субъектах ПД, считает Михаил Емельянников, закон пока практически не сказывается, потому что не нацелен на реальную защиту их интересов. Правильность этого мнения подтверждает тот факт, что украденными базами данных с ПД граждан по-прежнему торгуют массово и в открытую. “Моральный вред как основной способ возмещения ущерба субъектам ПД в наших судах признается только для очень ограниченной группы известных лиц. Для остальных есть стандартная формулировка: истец не представил убедительных доказательств нанесенного ему вреда и причиненных страданий”, — отмечает Михаил Емельянников.
ЗоПД и электронное государство
Государство является самым крупным в стране оператором ПД. В то же время ЗоПД предъявляет дополнительные требования по защите персональных данных, которые в большом объеме обрабатываются в информационных системах, обеспечивающих работу электронных госуслуг.
Виктор Сердюк полагает, что в настоящее время все такие системы электронного государства создаются с учетом требований по защите ПД. С этой оценкой в основном согласен и Евгений Акимов: по его наблюдениям требования по ИБ закладываются в каждый государственный ИТ-проект. Вместе с тем он осторожно оценивает полноту этих требований и их соответствие требованиям регулятивным. “Нужно смотреть каждый отдельный проект. Обобщения тут неприемлемы”, — говорит он.
По-видимому, государственным информационным системам до соответствия их ИБ адекватному уровню угроз еще далеко. Иначе эксперты не ссылались бы на упомянутый факт продажи нелегальных баз данных, содержащих информацию о гражданах, которая явно была получена в госорганизациях.
По мнению Алексея Раевского, перспективы изменения этой ситуации в связи с созданием системы электронных госуслуг оцениваются неоднозначно, поскольку сейчас предусматривается ответственность за несоблюдение прописанных в законе процедур, а не за то, что ПД граждан становятся потенциально доступными любым желающим.
Павел Сундеев считает, что без реорганизации порядка обработки ПД и решения вопросов их безопасности невозможно выполнить задачи по предоставлению госуслуг и построению электронного правительства, для чего необходимо менять концепцию информационных отношений при обработке ПД. Действующая концепция создавалась, когда не было глобального информационного пространства, не было Интернета, социальных сетей, “облаков” и т. п. Нужна четкая регламентация, причем на международном уровне, информационных отношений, которые возникают между субъектами ПД, госорганами и коммерческими предприятиями.
“Эти информационные отношения должны быть разделены на требующие обязательной идентификации субъектов ПД, не требующие такой идентификации и отношения с отложенной идентификацией, которая может быть проведена только по определенной процедуре, установленной законами. Необходимо широко использовать анонимность субъектов в тех случаях, когда не требуется обязательная идентификация, ограничить сбор ПД о гражданах государствами. Нужно создавать централизованные базы ПД со строгой регламентацией доступа. Обращение к такой базе данных должно происходить по условным постоянным и разовым идентификаторам без определения личности субъекта ПД (например, по номеру телефона), в том числе при решении своих задач правоохранительными и фискальными органами. Организация работы централизованных баз данных должна быть поручена специальному оператору ПД, который не должен зависеть от других органов госвласти, использующих эту базу. Основные документы граждан, в том числе удостоверяющие личность, необходимо переводить в электронную форму, например в аналог универсальной электронной карты”, — рекомендует Павел Сундеев.
По мнению Александра Токаренко, защита ПД и электронные госуслуги существуют сегодня в параллельных, не пересекающихся мирах: проекты по электронным госуслугам не учитывают требования по защите ПД, а те, кто обязан регулировать защиту ПД, на пушечный выстрел не подходят к госуслугам.
С этой оценкой согласен и Михаил Емельянников: “Сайты госуслуг строятся перпендикулярно закону 152-ФЗ и защищаются несертифицированными средствами типа протокола HPPTS на основе Open SSL. Сводятся воедино базы данных, созданные для несовместимых целей, что прямо запрещено законом. Операторы госуслуг не уведомляют субъектов ПД о получении их данных, а Роскомнадзор — об обработке ПД, они не имеют на руках согласий субъектов ПД на такую обработку. Спрашивается, зачем же тогда бизнесу трать деньги на выполнение требований закона, который госорганы демонстративно игнорируют. И это — страшный риторический вопрос”.
По мнению Владимира Чаплинского, развитие электронных госуслуг будет сдерживаться недостатками законодательства, неготовностью госорганов перевести свои бизнес-процессы на рельсы автоматизации, а это, по его оценкам, процесс затяжной.
ЗоПД и новые технологии
Как отмечает Виктор Сердюк, ЗоПД, как и любой другой нормативный акт, регулирующий область защиты информации, накладывает определенные ограничения на использование новых информационных технологий. Однако большинство этих ограничений, по его мнению, можно обойти за счет грамотного построения систем защиты ПД. “На сегодняшний день существует немало решений по защите информации, которые позволяют использовать, например, ту же технологию виртуализации и облачные вычисления и при этом выполнять требования ЗоПД”, — сказал он.
Не во всем с ним согласен Евгений Акимов: “Если вы передали свою информацию в облако, нужно перестать верить в то, что она защищена. Сегодня нет технологий, беспечивающих ИБ в облаках на приемлемом уровне. Вместе с тем для виртуализации есть решения, которые позволяют удовлетворить требования закона по защите ПД”.
Влияние ЗоПД на распространение новых технологий, как считают некоторые наши эксперты, не стоит рассматривать как негативное. Сегодня этот закон как никакой иной (пока) обязывает разработчиков и ИБ-интеграторов обращаться к вопросам защиты информации уже на стадии создания новых ИТ-продуктов и развертывания новых ИТ-проектов. “Это относится к любым новым технологиям, которые будут появляться в нашей жизни, и в таком смысле влияние ЗоПД как фактически единственного закона в рассматриваемой области трудно переоценить”, — уверен Михаил Левашов.
Павел Сундеев считает, что применение таких технологий, как облака, создает предпосылки для полного исчезновения понятия “частная жизнь”, что, по его мнению, недопустимо. “Необходимо внедрять средства деперсонализации информации в глобальном информационном пространстве, использовать специальные программы и процедуры для поиска и уничтожения ПД в Интернете по запросу субъекта ПД. Провайдеров услуг необходимо обязать создавать на своих ресурсах механизмы для оперативного и полного удаления ПД пользователей по их требованию. Для реализации безопасных облачных технологий необходимо разрабатывать специальные схемы сквозного шифрования блоков данных на ключах пользователя, которые могут быть размещены на различных неопределенных ресурсах. При этом управление ключами должно быть отнесено к функциям субъекта ПД. Необходимо решать проблему использования криптографических средств защиты информации при её трансграничном перемещении”, — сказал он.
Алексей Раевский рассматривает как основную проблему ЗоПД его излишнюю ориентированность на технологии. “Технологии со временем устаревают, появляются новые, а вместе с ними и новые угрозы, — говорит он. — Возникает необходимость периодически обновлять закон. Если этого не делать, то ЗоПД начнет тормозить использование новых технологий и станет очередным законом, строгость которого компенсируется необязательностью его исполнения”.
Популярное мнение о благоприятном влиянии закона на российский рынок ИБ оспаривает Михаил Емельянников именно ввиду отношения госрегулятров к новым технологиям, выражающегося через этот закон: “С новыми технологиями [в ЗоПД] — дело швах. Поскольку регуляторы ничего про них в законе не пишут, а ПД надо защищать сертифицированными средствами, значительную часть перспективных технологий в рамках ЗоПД нельзя применять в принципе. Когда речь идет об облаках, где безопасности, на мой взгляд, пока нет вообще, это хорошо. Но плохо, когда речь идет о виртуализации и терминальном доступе, где проблемы безопасности поняты и оценены, но не в руководящих документах наших регуляторов”.
Владимир Чаплинский причину тупиковой ситуации с облаками усматривает не в самом законе, а в том, что сегодня заказчики (и госорганы, и коммерческие структуры) не готовы передавать часть своих функций по автоматизации бизнес-процессов “на сторону”. Нет и поставщиков услуг, которые могли бы в полной мере решать эти вопросы по приемлемым ценам и отвечали бы необходимым требованиям. Да и законодательство, в том числе и в сфере страхования и защиты ПД, никого к этому не стимулирует.
Как видим, по поводу закона “О персональных данных” у профессионалов, погруженных в проблемы ИБ, оценки расходятся и ситуация с защитой ПД остается неопределенной и острой.