ЭДУАРД ПРОЙДАКОВ: КОЛОНКА РЕДАКТОРА
Просто поразительно, чего может добиться юрист, если никто вокруг не знает законов.
Похоже, что ко всему привыкший российский ИТ-бизнес "не въехал", как говорит молодежь, в то, что за "засада" таится для него в законе о персональных данных (далее ЗПД). Да простит мне читатель этот масс-медийный сленг, но подпрыгнуть тут есть от чего. Начнем с того, что за нарушение закона ответственность несет руководитель фирмы и это сулит ему, мягко говоря, серьезные неприятности - от крупного штрафа до тюремного заключения. То есть стимул соблюдать закон есть. Но проблема в том, как его соблюсти. Возьмем хотя бы п. 1 из ст. 7 закона: "1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных". Ключевое слово здесь "конфиденциальность". Что значит - обеспечить конфиденциальность? Это означает, что используемая для хранения таких данных вычислительная система и ее ПО должны быть сертифицированы под обработку и хранение конфиденциальных данных уполномоченными на то органами. Я не слишком хорошо представляю возможности такого органа по сертификации в обозримые сроки сотен тысяч действующих в России корпоративных компьютерных систем. Если закон будет активно проводиться в жизнь (в чем нет большой уверенности, так как это достаточно трудно сделать технически), то по меньшей мере потребуется проведение сертификации на основе Единой государственной системы сертификации. Закон же о техническом регулировании, действующий с 2003 г. и определяющий порядок сертификации товаров и услуг, хотя и регулирует правила необязательной сертификации в области защиты информации, но к нему пока нет необходимых технических регламентов, которые все еще находятся в стадии разработки.
Кстати, очень интересно, а как они будут сертифицировать находящиеся в других странах ВЦ инофирм, работающих в России и занимающихся сбором персональных данных в CRM- и ERP-системах? Непонятно также, насколько будет применим закон к госорганизациям, - не будет же государство сечь само себя. Как считает эксперт, с которым я обсуждал этот вопрос, там они назовут персональные данные служебными и выведут их из-под действия данного закона, как по существу выведен из-под него процесс сбора персональных данных для федеральных систем.
Допустим, в вашей конкретной компании нет CRM с базой клиентов и даже нет отдела кадров с личными делами сотрудников. Не радуйтесь! У вас, как ни крути, есть бухгалтерия. Этого достаточно, чтобы попасть под ЗПД.
Если вернуться к сертификации на хранение конфиденциальных данных, то даже такой термин, как "несанкционированный доступ, НСД", юридически полностью не определен. В ряде документов прописано, что это недозволенный доступ с помощью штатных средств компьютерной системы. В таком случае - кража диска с информацией, это уже не НСД. Ну а как же быть с пресловутыми электромагнитными полями? Каждый компьютер, как и каждый человек, имеет свой уникальный электромагнитный портрет и "светится" на достаточно большое расстояние. Те, кто работал в почтовых ящиках в советские времена, помнят обшитые металлом экранированные помещения ВЦ, в которых у меня почему-то всегда болела голова. Так что, снова будем экранироваться?
Ну, скажем, такие утечки информации доступны только богатым и влиятельным организациям со спецаппаратурой, и от них могут защищаться только не менее богатые и влиятельные. Но даже если вы обеспечите на фирме физическую охрану периметра, это вряд ли вам поможет, ведь самый существенный изъян кроется в сертификации ПО. Подавляющее большинство фирм использует западный софт - если не КИС, то ОС, СУБД, почтовую систему, сетевое ПО и т. д. Не секрет, что в ПО практически всех западных производителей полно закладок; имеются они, как говорят эксперты, в достаточном количестве и в ПО с открытыми исходными текстами. А поскольку корпоративные системы, как правило, не полностью изолированы от Интернета, то вопрос сертификации ПО становится одним из самых острых. Допустим, что какая-то версия ОС или СУБД после многомесячного исследования сертифицирована. Первый же патч (например, заплатка, закрывающая уязвимость или исправляющая обнаруженную ошибку) сводит эту сертификацию на нет.
К сожалению, ни у Мининформсвязи, ни у правительства страны нет ни понимания вопроса, ни программы создания отечественного сертифицированного ПО. (В результате, как мне рассказывают, в открытой печати объявляются тендеры на доработку Windows! А как вам нравятся тендеры, в условиях которых заложены версии Windows, уже не поддерживаемые производителем? Ну и кто будет латать обнаруженные в них уязвимости? И можно ли сертифицировать такие системы?). Супер-пупер!
Те попытки создания трех отечественных аналогов западных ОС, о которых я знаю, бесславно провалились. Причин этому несколько, но главная в том, что у софтверных компаний, работающих на госструктуры, должны быть железные многолетние гарантии финансирования. Нынешняя система ежегодных тендеров в данном случае может использоваться только для выбора ИТ-компании, но если она выбрана - будьте добры! Окажись такая фирма на полгода без денег, и весь проект, на который истрачены десятки миллионов рублей (из нашего кармана, кстати), можно выбрасывать в корзину - программисты разбегутся (а что им остается делать?), и систему некому будет поддерживать. Что, собственно, как мне кажется, и случилось. Разумеется, государство, в свою очередь, обязано иметь гарантии от работающих на него фирм и установить их статус, чтобы не повторялись истории типа перехода команды Б. Бабаяна в корпорацию Intel.
Разумеется, для появления подобного отечественного ПО необходим грамотный госзаказ и правильное управление им. Если вспомнить, что систему управления "Бураном" в ее финальной версии писало всего тридцать человек, то стоимость одного подобного трехлетнего проекта лежит в пределах весьма реальных 15-25 млн. долл.
Закон о персональных данных вступает в силу с 1 января 2007 г. Еще год дан для подачи заявок в уполномоченный орган. Думаю, хорошим новогодним подарком для бизнеса в 2008-м будет стук морозным утром в дверь: "А как вы храните персональные (конфиденциальные) данные?" Ну а дальше, как обычно...
Впрочем, в ЗПД операторам персональных данных предлагается использовать криптографические средства защиты данных и будет глупо ими не пользоваться.
Я попытался разобрать только одно слово из данного закона, а сколько там других интересных слов - например, "законность способа обработки персональных данных" (а законны ли, скажем, электронные таблицы?), "достаточность персональных данных для целей обработки" (кто же это проверит и на основе чего?), "недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных" и т. д. Последнее требование, в частности, формально может вызвать проблемы при создании корпоративных хранилищ данных. Еще хочется спросить законодателей, а как теперь работать отделам конкурентной разведки российских компаний? По открытым источникам? :)
Текст закона можно прочитать по адресу: www.rg.ru/2006/07/29/personaljnye-dannye-dok.html.