ЗАЩИТА ДАННЫХ
В Госдуме рассматривается законопроект "О персональных данных"
Георгий Долин
Сегодня у лоточников на перекрестках столицы и компьютерных рынках при желании можно приобрести диски с базами данных МГТС, мобильных операторов, налоговых органов, Пенсионного фонда, ГАИ и т. д. И это притом, что торговля подобной конфиденциальной информацией незаконна.
Фактическая защищенность баз данных в России не ниже, чем в США: наши предприятия используют те же самые системы и средства безопасности. Но чем обширнее база данных и чем больше важной информации она содержит, тем больше людей отвечает за ее наполнение и поддержку и соответственно тем выше вероятность утечки. Например, в рамках дальнейшей автоматизации сбора налоговой отчетности в электронном виде определенно будет производиться регулярная консолидация этих данных. И, оказавшись на рынке, такая база представит уже значительную угрозу для частных и государственных организаций, а также граждан.
В Госдуме рассматривается законопроект "О персональных данных". Предполагается свести в единую базу информацию, сбор которой раньше считался нарушающим конституционные права граждан. Это отпечатки пальцев, образцы ДНК, отпечаток сетчатки глаза и другие биометрические характеристики, сведения о расовом и этническом происхождении, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, сексуальных наклонностях и судимости.
Единый государственный регистр населения (ЕГРН), содержащий персональные данные обо всех гражданах страны, сейчас тестируется в девяти регионах России (Москва и Московская область, Санкт-Петербург, Ямало-Ненецкий и Ханты-Мансийский автономные округа, Калининградская, Нижегородская, Ярославская и Новгородская области). ЕГРН разрабатывается с 2003 г. Мининформсвязи РФ в рамках ФЦП "Электронная Россия"и содержит идентификаторы персональных данных и первичные идентификационные данные обо всем населении страны. Согласно концепции ЕГРН, это шесть параметров: фамилия, имя, отчество, дата и место рождения, пол. Сам регистр должен стать краеугольным камнем для Системы персонального учета населения (СПУН), которая, в свою очередь, призвана лечь в основу взаимодействия государства и граждан при учете и обмене персональными данными.
Предполагается, что пользователями СПУН станут отделы ЗАГС, паспортные столы жилищных организаций, сельские административные образования, органы статистики и социального обеспечения, налоговые службы, районные и городские администрации, государственная автоматизированная система “Выборы”. Но кто еще может оказаться обладателем этой информации, если сохранится нынешнее положение дел с безопасностью, остается только гадать.
Несмотря на запрет сбора подобных сведений, прописанный в главном законе страны, из него существует ряд исключений. И законодатели не преминули ими воспользоваться. Так, сбор информации о гражданине допускается, если он дал на это свое письменное согласие или если эти данные необходимы для защиты жизни и здоровья субъекта либо требуются в медицинских целях лицу, профессионально занимающемуся медицинской деятельностью. А обработка данных о судимости, по замыслу авторов закона, может осуществляться органами государственной власти в сфере обороны страны, безопасности государства и охраны правопорядка.
То, что собранная информация будет полностью защищена, никто гарантировать не может. Депутаты обещают принятие дополнительных мер защиты персональных данных, но сами же говорят, что украсть можно все.
Более того, если база данных создается совместно несколькими ведомствами или информация передается из одного ведомства в другое (например, информационные базы данных Федеральной налоговой службы и Пенсионного фонда), то ответственного на стыках по результатам взаимодействия найти практически невозможно.
Так, показателен пример появления в продаже в ноябре 2004 г. то ли базы налоговой инспекции по подоходному налогу, то ли базы Пенсионного фонда. В них помимо информации о доходах были: паспортные данные и домашний адрес получателя дохода, юридический адрес и телефон компании-работодателя. Все эти сведения позволяли определить место работы любого лица московского региона, проследить его финансовую историю, получить полный список сотрудников предприятия и акционеров, являющихся физическими лицами, а также определить объем полученных дивидендов. Вдобавок база содержала сведения о купле-продаже и строительстве недвижимости. Оба ведомства (Пенсионный фонд и Министерство по налогам) провели внутреннее расследование, но так и не выяснили источник утечки. Каждая из этих структур возложила ответственность на другую. В прессе появлялась информация, что к расследованию подключится ФСБ, однако этого либо не произошло, либо не дало никаких результатов.
Можно не сомневаться, что при отсутствии реального наказания за кражу информационных баз они тут же окажутся на пиратских лотках. Интересно, что против нынешней редакции закона "О персональных данных" выступили и органы охраны правопорядка, где считают, что при нынешней ситуации никто не сможет гарантировать сохранность собранных государством данных. Но мнение ФСБ в правительстве не учли.
Директор департамента правового обеспечения Мининформсвязи (органа, занимающегося составлением единой базы) Михаил Якушев в одном из своих выступлений заверил, что будут приняты дополнительные меры наказания за разглашение персональных данных. Речь идет о поправках в КОАП, ужесточающих административную ответственность (имеется в виду повышение штрафов). Уголовная ответственность за разглашение персональных данных и попадание их на рынки, скорее всего, вводиться не будет. А очень хотелось бы, чтобы именно руководители организаций несли персональную ответственность вплоть до увольнения за раскрытие доверенной им тайны.
По нашему мнению, для обеспечения безопасности информации основное внимание следует уделять не повышению ответственности сотрудников организаций, а защищенности самих баз данных. Это, в свою очередь, требует государственного определения критериев (стандартов) безопасности, разработки концепции информационной безопасности, методической, организационно-распорядительной документации.
Стоит ли России идти по пути создания собственных стандартов - вопрос сложный. С одной стороны, инструкции, выпущенные компетентными органами, будут выполняться строже, чем общие рекомендации. А с другой - особенно учитывая неотвратимость вступления России в ВТО, хотелось бы, чтобы внутренние российские стандарты соответствовали общемировым требованиям. Чтобы, выполнив эти требования и получив сертификат соответствия, организация могла не только отчитаться о проделанной работе, но и завоевать доверие западных партнеров тем, что к защите информации и бизнес-процессам в целом в организации подходят ответственно.
Кроме того, следует отметить необходимость проведения регулярного аудита организаций. Проверка того, как выполняются предписанные меры защиты, в сочетании с персональной ответственностью за любую провинность в защите данных могут дать результаты. Главное тут - не переусердствовать и не сделать так, чтобы меры по защите информации мешали нормальной работе с нею.
С автором статьи можно связаться по адресу: shah@Infosec.ru