Защита персональных данных: если наступит завтра
Алексей Сабанов, Ника Комарова, Олег Плотников, cnews.ru
В Европе формирование законодательной базы в области защиты персональных данных насчитывает более чем тридцатилетнюю историю. Первый закон, установивший правила хранения и предоставления информации о гражданах, был принят в Германии еще в 1970 году. Европейские страны прошли долгий путь: одна только Венгрия трижды меняла своё законодательство о защите персональных данных. Судя по последним событиям вокруг российского федерального закона «О персональных данных», нечто подобное, возможно, предстоит и нашей стране.
7 ноября 2001 года Российская Федерация подписала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, возложив на себя обязательства по приведению в соответствие с нормами европейского законодательства деятельности в области защиты прав субъектов персональных данных. Стремясь стать частью большой европейской семьи, Россия явно торопилась с рождением закона. Отсутствие времени на глубокую переработку недостаточного на тот период материала, а также сложности с быстрым достижением консенсуса между ведомствами, не могли не сказаться на результате. В итоге на протяжении более чем трехлетней жизни закона мы постоянно сталкиваемся с критикой в адрес закона «О персональных данных»: непосильные требования, неадекватные сроки, несовершенство формулировок. Но закон – есть закон, его надо выполнять. Вопрос – как?
Первыми этот вопрос подняли компании, составляющие армию крупных операторов ИСПДн. Им на помощь постарались придти интеграторы, поставщики СЗИ и СКЗИ, каждый с собственными интересами. В итоге время, данное на приведение в соответствие с нормативной базой информационных систем, содержащих персональные данные, операторы расходовали на свое усмотрение. Причем, их позиции в этом отношении кардинально отличались. Часть действительно задумались о том, где и как искать бюджеты на необходимые процедуры подготовки. Кто-то решил просто отсидеться, что называется, в сторонке. Многие рассчитывали на перенесение сроков.
Кризисные явления в экономике, помноженные на «проблему 01.01.10», в свою очередь, активно подогреваемую PR-кампанией в СМИ, создавали всё большую напряженность на рынке. В редкий месяц не проводилось мероприятий, так или иначе затрагивающих проблему персональных данных. Традиционные ежегодные конференции, такие как Инфофорум, InfoSecurity-Russia и «Информационная безопасность. Региональные аспекты» все без исключения ставили этот вопрос во главу угла. За последние пару лет был запущен ряд интернет-проектов (www.privacy-journal.ru, www.zki.infosec.ru, www.ispdn.ru и др.). Один из проектов даже вёл счетчик «До прихода регуляторов осталось ХХХ дней». Что до публикации в СМИ статей разного уровня профессионализма, посвященных аспектам защиты ПДн, то их объемы просто не представляется возможным оценить. Форумы кипели. Отраслевое сообщество било тревогу, проводились подсчеты времени, действительно необходимого для выполнения норм №152-ФЗ. Снежный ком постепенно нарастал. В итоге, когда до часа икс оставалось каких-то пару месяцев, в Государственной Думе прошли очередные Парламентские слушания, посвященные совершенствованию нормативной базы в области персональных данных.
Мы слышим друг-друга
Представительный состав Парламентских слушаний Госдумы обсудил вопросы целесообразности срока приведения ИСПДн в требуемый законом вид. Пожалуй, впервые со столь высокой трибуны прозвучало утверждение об очевидной необходимости переноса срока, обозначенного в ст.25 п.3 ФЗ №152. Со стороны Роскомнадзора было сделано заявление о том, что понимая общее положение и проблемы операторов по исполнению требований закона, данный орган не намерен в ближайшее время переходить к жестким карательным мерам. Указанное выступление коснулось и законопроекта № 217355-4 «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона “О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных” и Федерального закона “О персональных данных”.
Финальный аккорд 2009 года в долгой эпопее с увеличением срока прозвучал: Комитет Госдумы по информационной политике рекомендовал отсрочить вступление в полную силу закона о персональных данных на год. Предложенные депутатами изменения касались также исключения из закона требований о применении криптографических средств для защиты персональных данных. Данное упрощение должно позволить предприятиям снять необходимость получения лицензии ФСБ на деятельность по техническому обслуживанию шифровальных средств.
О чем говорит инициатива Комитета Государственной Думы РФ? Прежде всего, о том, что, возможно, впервые за всю историю рынка информационной безопасности государство прислушалось к мнению отраслевого сообщества. Мы сделали большой шаг вперед на пути к достижению компромиссов, нахождению рациональных решений, удовлетворяющих обе стороны. Достаточно ли этого? Если оценивать это решение сиюминутно – да, но перспективе предстоит изменить еще очень многое.Попробуем оценить некоторые направления этих изменений.
Жизненно важный орган
Полномочиями надзора за порядком работы с персональными данными в некоторых странах наделен Комиссар. Такая практика существует в Ирландии, Лихтенштейне, Новой Зеландии Специальные Комиссии по защите персональных данных существуют в Австрии, Бельгии, Боснии и Герцеговине, Болгарии, Франции, Португалии, Словении. В Австралии по представлению министра Комиссар (Former Federal Privacy Commissioner of Australia) назначается главой государства сроком на 7 лет. Так называемый, информационный комиссар есть также и в Великобритании (Data Protection Commissioner). Он назначается на 5 лет монархом по представлению обеих палат парламента. В Аргентине сформировано Национальное управление по защите персональных данных. В Италии создан специальный наблюдательный орган по защите персональных данных Garante, состоящий из 4 человек, назначенных по двое от каждой палаты Парламента сроком на 4 года.
В России появление такого органа сопровождалось длительной проволочкой, превысившей все мыслимые сроки. Теперь у нас есть Роскомнадзор (ранее Роскомсвязьнадзор), его деятельность регулируется Положением, утвержденным Постановлением Правительства РФ от 16.03.2009 №228, он является подведомственной структурой Министерству связи и массовых коммуникаций РФ федеральной службой (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). Роскомнадзор имеет достаточно развитый штат в Москве и в 78 регионах России 1. Срок деятельности сотрудников органа не ограничен.
С точки зрения самой сути этого органа он не устраивает ни наших, ни международных законников. В развитых странах это независимая государственная структура, основным призванием которой является защита прав и свобод граждан. В России ситуация немного иная: Роскомнадзор может осуществлять проверки информационных систем операторов ИС на соответствие требованиям законодательства независимо от подачи жалоб гражданина о подозрении в нарушении обработки его персональных данных тем или иным оператором.
Текущее состояние
С течением времени, что особенно стало заметно к концу 2009 года, разговоры о защите персональных данных постепенно сместились в практическую область. В то же время руководители министерств и ведомств, не имевших ранее опыт защиты ПДн, склонны подходить к оценке реальных возможностей в этой области в заданный срок весьма скептически. Это звучало в докладах представителей Министерства образования, Министерства здравоохранения и социального развития, Союза страховщиков России и во многих выступлениях в рамках уже упомянутых Парламентских слушаний в Государственной Думе в октябре этого года. Так, операторы отметили, что в законодательстве имеется дисбаланс в сторону интересов субъектов ПДн, в то время как реальные возможности операторов не учитываются.
Многие уже столкнулись с различными трактовками основных положений Федерального закона в регионах, недостатком разъяснений со стороны государственных регуляторов и избирательным применением закона. Отмечено, что рекомендации со стороны ФСТЭК России по лицензированию деятельности в области технической защиты информации, сертификации средств защиты информации, аттестации ИСПДн подразумевают наличие достаточно объемных материальных и трудовых ресурсов. Подобных ресурсов бюджетным организациям пока никто не обещал. С позиции же коммерческих структур выполнение сегодняшних требований может привести к существенному удорожанию услуг оператора.
Устранение противоречий
На начало ноября 2009г. количество операторов, подавших уведомления в Роскомнадзор, составляло около 70 тыс., т.е. порядка 1,8% от ожидаемого количества. Такую неутешительную статистику эксперты объясняют незрелостью формулировок самого закона и отсутствием логичной увязки со смежными законодательными актами. По приблизительным подсчетам для снятия противоречивых положений, формулировок и последующих за ними трактовок, необходимо внести изменения в тридцать законодательных актов. И это – не говоря о корректировке самого закона.
В качестве другой причины низкой активности операторов по подаче уведомлений, эксперты называют непомерно завышенные требования по защите персональных данных, выполнить которые не под силу большинству компаний, оперирующих ПДн. В качестве примера приведем рекомендацию наличия лицензии ФСТЭК России на техническую защиту конфиденциальной информации для операторов, имеющих в составе своих информационных систем ИСПДн первого и второго класса и для распределенных ИСПДн третьего класса. Наверное, имелась в виду обязательность наличия лицензий у интеграторов, которые помогают операторам формировать модель угроз, согласовывать ее, выбирать адекватные ей средства защиты, а главное готовить систему к аттестации.
Также одной из причин можно назвать неготовность операторов в вопросах, касающихся выделения необходимых бюджетов и наличия специалистов. Существенным негативным фактором является непонимание со стороны руководства важности проведения соответствующих мероприятий, требующих и материальных и людских ресурсов. Приведем еще один взгляд на проблему выполнения требований закона в срок.
Согласно новым вводным
По оценкам специалистов, число информационных систем, обрабатывающих персональные данные (ИСПДн), для России может составлять от 3 до 7 миллионов. Ранее попытки посчитать временные затраты оператора ПД на основные процедуры приведения своих информационных систем в соответствие с требованиями №152-ФЗ предпринимались не раз 2, но будем основываться на актуализированных данных.
Оценки затрат времени оператора ПД на основные этапы по приведению ИСПД в соответствие с требованиями ФЗ-152
| Этап | Оценка затрат времени, месяцы |
| Регистрация оператора ПД | 1-2 |
| Лицензирование | 2-3 |
| Классификация и категорирование | 1-2 |
| Разработка и согласование модели угроз | 1-2 |
| Сертификация | 3-5 |
| Аттестация | 2-3 |
Если сложить значения для указанных этапов, то по усредненным показателям получится никак не меньше года. Представим себе, что по мере накопления опыта и выстраивания бизнес-процессов, в том числе поставки некоторых схожих типов работ «на поток», общими усилиями нам удастся выдержать требуемый одногодичный срок. Спасет ли это ситуацию? ФСТЭку придется призвать на помощь всех лицензиатов ФСБ России и собственных, специализирующихся на наиболее трудоемких операциях, имеющих квалифицированные кадры, опыт и необходимое оборудование, подучить их и привлекать к интенсивной работе. По обновленным данным, сегодня таких организаций более 1000.
Наконец, попробуем грубо оценить число систем, нуждающихся в полном цикле работ, занимающих сегодня в среднем 1 год. Экспертные оценки разнятся, но никто из опрошенных не называл цифру менее 100 тысяч. Примем ее в качестве наименьшей для проведения интегральных оценок. Итак, мы имеем следующие исходные данные. Минимальный средний срок проведения основных этапов работ - 1 год для каждой ИСПДн. Максимальное число центров по проведению работ по подготовке операторов к лицензированию, согласованию модели угроз, сертификации и аттестации ИСПД – 1000. Минимальное количество ИСПДн, для которых необходимо выполнять весь рассмотренный цикл работ по приведению информационной системы в соответствие с ФЗ-152, примем 100 000 шт.
В итоге, на проведение такой работы в масштабах страны, как нетрудно оценить, уйдет 100000/100 = 100 лет. Поскольку каждая уполномоченная организация может качественно выполнять одновременно не более 10 работ, то этот срок может снизиться до 10 лет.
Вчера, сегодня, завтра
Наверное, не стоит предполагать, что перенос срока на год позволит операторам облегченно вздохнуть. По сути, те, кто защищал данные до появления требований по защите ИСПДн, находятся в более выигрышном положении: им необходимо доработать нормативную документацию предприятия, проверить применяемые средства защиты на соответствие текущим требованиям и, возможно, незначительно перестроить информационные потоки. Вне зависимости от пролонгации срока, гораздо тяжелее придётся тем предприятиям, у которых нет опыта работы с данными конфиденциального характера и нет необходимых для этого средств. Но самое главное, у них нет штатных специалистов по защите информации, готовых если не проводить весь комплекс работ, то хотя бы грамотно ставить задачи и контролировать привлекаемых лицензиатов ФСБ России и ФСТЭК России для проведения соответствующих мероприятий.
Но давайте посмотрим на вопрос с другой стороны. Государственное регулирование на рынке ИБ присутствовало всегда. Но с выходом №1-ФЗ, а позже №152-ФЗ его влияние на информационную безопасность и отрасль ИТ в целом значительно усилились. Если до принятия закона «О персональных данных» разработчики ИТ-систем уделяли ИБ лишь второстепенное внимание, то с его выходом ситуация изменилась кардинально. Так, 5-10 лет назад проекты обеспечения информационной безопасности информационных систем инициировались в основном по мере их ввода в эксплуатацию. Ведущие специалисты, системные интеграторы и архитекторы комплексных систем указывали на необходимость решения вопросов информационной безопасности уже на стадии проектирования, но заказчики, как правило, откладывали эти вопросы до лучших времен. Масштабные, дорогостоящие и трудоемкие внедрения проводились без специалистов по ИБ. №152-ФЗ изменил этот уклад. Вопрос информационной безопасности неожиданно оказался во главе угла, выйдя за рамки узкоспециализированного сектора рынка. Сегодня об этом задумались компании, бизнес. Завтра задумаются и граждане. В тот момент, когда это произойдет, мы заговорим не просто о защите прав субъекта персональных данных, но о ростках культуры информационной безопасности в обществе.
1 - по данным на октябрь 2009г.,