25.12.2009

Защита персональных данных: этап конструктива?

Алексей Сабанов, к.т.н., заместитель генерального директора Aladdin<br />
«Защита информации. Инсайд», №6, 2009

Алексей Сабанов, к.т.н., заместитель генерального директора Aladdin,
«Защита информации. Инсайд», №6, 2009


Фурор и трудная жизнь двух законов

За последнее десятилетие всего два закона всколыхнули рынок информационной безопасности (ИБ) и оказали значительное влияние на умы и деятельность сообщества защитников информации. Речь идет о №1-ФЗ «Об электронной цифровой подписи» и №152-ФЗ «О персональных данных». Оба закона, безусловно, оживили рынок с точки зрения ожиданий разработчиков, интеграторов, заказчиков и регуляторов. Но в обоих случаях применение основных положений этих законов на практике было осложнено обстоятельствами почти непреодолимой силы. И хотя выход №1-ФЗ и №152-ФЗ разделяет более 5 лет, уже сейчас заметны параллели в их создании и практическом применении.

Появление этих законов продиктовано не только внутренней необходимостью российской действительности, но и международными, в первую очередь, Европейскими требованиями. Так, если №1-ФЗ появился благодаря Директиве ЕС по применению электронной подписи (1999г.) и последующим соглашениям между странами-участницами, то №152-ФЗ обязан своим ускоренным рождением Конвенции Совета Европы о защите личности в связи с обработкой персональных данных (1981г.), и, главным образом, принятой в 1995г. Директиве 95/46 Европейского парламента и Совета ЕС о защите прав частных лиц применительно к обработке персональных данных (ПДн) и свободном движении ПДн (Директива имеет статус обязательного правового стандарта для стран-участниц ЕС).

В обоих случаях проволочки с появлением уполномоченного федерального органа превысили все мыслимые сроки и вызвали разочарование профессионального сообщества. Так, к восьмилетнему сроку действия №1-ФЗ корневой удостоверяющий центр так и не вышел на планируемый уровень работы. А появление Роскомсвязьнадзора, а позже Роскомнадзора, при всем глубоком уважении к работающим там специалистам, не устраивает ни наших, ни международных законников с точки зрения самой сути этого органа. В тоже время во всех развитых странах это независимая государственная структура, основным призванием которой является защита прав и свобод граждан. К таким государственным структурам относятся комиссии (*), агентства или различные управления по защите персональных данных, обеспечивающие контроль за соблюдением прав субъекта персональных данных.

Для понимания общей картины, приведем примеры из европейской практики. В Швеции работает Совет по проверке данных, контролирующий реализацию Закона «О персональных данных». Агентство по защите персональных данных было создано в Дании, в Хорватии, в Испании. В Чехии после принятия в 2000 г. Закона «О защите данных», в Исландии, Румынии и Словакии были также созданы Управления по защите персональных данных. В Аргентине сформировано Национальное управление по защите персональных данных. В Италии создан специальный наблюдательный орган по защите персональных данных Garante, состоящий из 4 человек, назначенных по двое от каждой палаты Парламента сроком на 4 года.

Полномочиями надзора за порядком работы с персональными данными в некоторых странах наделен Комиссар. Такая практика существует в Ирландии, Лихтенштейне, Новой Зеландии Специальные Комиссии по защите персональных данных существуют в Австрии, Бельгии, Боснии и Герцеговине, Болгарии, Франции, Португалии, Словении. В Австралии по представлению министра Комиссар (Former Federal Privacy Commissioner of Australia) назначается главой государства сроком на 7 лет. Так называемый, информационный комиссар есть также и в Великобритании (Data Protection Commissioner). Он назначается на 5 лет монархом по представлению обеих палат парламента.

В России существует Роскомнадзор, его деятельность регулируется Положением, утвержденным Постановлением Правительства РФ от 16.03.2009 №228, он является подведомственной структурой Министерству связи и массовых коммуникаций РФ федеральной службой (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций). Роскомнадзор имеет достаточно развитый штат в Москве и в 78 регионах России (*). Срок деятельности не ограничен.

Возвращаясь к сравнению судеб двух федеральных законов, заметим, что и в том и другом случаях Россия торопилась с рождением закона. Отсутствие времени на глубокую переработку явно недостаточного на тот период материала, а также невозможность быстро найти консенсус между ведомствами, не могло не сказаться на результате. В итоге мы получили законы, которые специалисты ругают за несовершенство. Критикой можно заниматься до бесконечности, законы же надо выполнять. Для этого необходим конструктивный, взвешенный подход, подвижки к которому в части защиты персональных данных уже намечены. Судите сами, по оценкам специалистов внесение существенных изменений в №1-ФЗ может негативно сказаться на развитии защищенных сервисов на базе PKI-технологий. Обратная ситуация сложилась с законом «О персональных данных»: за изменение ФЗ-152 и смежных законодательных актов голосует большинство участников рынка. Почему это так? Только ли потому, что срок 1 января 2010г., когда все информационные системы операторов ПДн должны быть приведены в соответствие с законодательством еще не наступил, и можно попробовать что-то изменить?

Текущее состояние

На многочисленных публичных мероприятиях (конференции, семинары, etc.) предприятия-операторы ПДн в лице своих ведущих специалистов ИБ и ИТ активно обсуждают вопросы выполнения требований №152-ФЗ и его подзаконных актов. Заметим, что в отличие от начала 2009г. и более раннего периода обсуждения закона, разговоры постепенно сместились в практическую область (как решить конкретный вопрос, какой вариант поведения выбрать, права и обязанности операторов, регуляторов и т.д.). В то же время руководители министерств и ведомств, не имевших ранее опыт защиты ПДн, склонны подходить к оценке реальных возможностей в этой области в заданный срок весьма скептически. Это звучало в докладах представителей министерства образования, министерства здравоохранения и социального развития, Союза страховщиков России и во многих выступлениях в рамках Парламентских слушаний в Государственной Думе в октябре этого года. На этих слушаниях операторы персональных данных высказали много претензий в сторону формулировок закона и подзаконных актов. Выделим некоторые из них. Так, операторы отметили, что в законодательстве имеется дисбаланс в сторону интересов субъектов ПДн, в то время как реальные возможности операторов не учитываются. Также операторы столкнулись с различными трактовками основных положений Федерального закона в регионах, недостатком разъяснений со стороны государственных регуляторов и избирательным применением закона. Отмечено, что рекомендации со стороны ФСТЭК России по лицензированию деятельности в области технической защиты информации, сертификации средств защиты информации, аттестации ИСПДн подразумевают наличие достаточно объемных материальных и трудовых ресурсов. Подобных ресурсов в бюджетных организациях попросту нет. С позиции же коммерческих структур выполнение сегодняшних требований может привести к существенному удорожанию услуг оператора.

На практике положение дел с защитой данных для различных предприятий сегодня существенно отличается. По сути, произошло расслоение предприятий по степени готовности к предстоящим проверкам со стороны соответствующих органов. Те, кто защищал данные до появления требований по защите ИСПДн, находятся в более выигрышном положении: им необходимо лишь доработать нормативную документацию предприятия, проверить применяемые средства защиты на соответствие текущим требованиям и незначительно перестроить информационные потоки. Гораздо тяжелее приходится тем предприятиям и организациям, у которых нет опыта защиты информации конфиденциального характера, нет необходимых для этого средств, а, главное, нет специалистов по защите информации, готовых если не проводить весь комплекс работ(начиная с обследования и классификации ИС), то хотя бы грамотно ставить задачи и контролировать привлекаемых лицензиатов ФСБ России и ФСТЭК России для проведения соответствующих мероприятий.

Краткий анализ

Столь малое количество уведомлений и, следовательно, неготовность большей части операторов к исполнению основных положений закона и подзаконных актов, можно попытаться объяснить.

С одной стороны, сказывается незрелость формулировок самого закона и отсутствие логичной увязки со смежными законодательными актами. По приблизительным подсчетам для снятия противоречивых положений, формулировок и последующих за ними трактовок, необходимо внести изменения в тридцать законодательных актов. И это – не говоря о корректировке самого закона!

Можно также отметить завышение некоторых требований по защите персональных данных. В качестве примера приведем рекомендацию наличия лицензии ФСТЭК России на техническую защиту конфиденциальной информации для операторов, имеющих в составе своих информационных систем ИСПДн первого и второго класса и для распределенных ИСПДн третьего класса. Наверное, имелось в виду обязательность наличия лицензий у интеграторов, которые помогают операторам формировать модель угроз, согласовывать ее, выбирать адекватные ей средства защиты, а главное готовить систему к аттестации.

Также одной из причин можно назвать неготовность операторов в вопросах, касающихся выделения необходимых бюджетов и наличия специалистов. Существенным негативным фактором является непонимание со стороны руководства важности проведения соответствующих мероприятий, требующих и материальных и людских ресурсов. Приведем еще один взгляд на проблему выполнения требований закона в срок.

Немного арифметики

На начало ноября 2009г. количество подавших в Роскомнадзор уведомлений составляет около 70 тыс., т.е. порядка 1,8% от ожидаемого количества. До конца года ситуация вряд ли изменится кардинально. По оценкам специалистов, число информационных систем, обрабатывающих персональные данные (ИСПДн), для России может составлять от 3 до 7 миллионов. Эти цифры впервые прозвучали на секции по ПДн в рамках конференции «Информационная безопасность. Региональные аспекты», проходившей 9-13 сентября 2008г. в Сочи. Несмотря на грубость оценок предстоящего объема работы, пока они никем не оспорены.

Стоит отметить, что далеко не во всех ИСПДн требуется соблюдать всего лишь одно требование безопасности - обеспечение конфиденциальности информации (такие системы отнесены к типовым). Как правило, вдобавок к этому требованию необходимо обеспечить доступность, достоверность, неотказуемость и другие свойства безопасности информации. Подобные ИСПДн, а их по мнению специалистов ИБ реально будет подавляющее большинство, должны проходить весь цикл работ, включающих в себя описание ИСПДн, определение её класса, рассмотрение актуальных угроз, формирование модели угроз, обоснование требований по ИБ, описание существующей системы защиты, разработку ТЗ на СЗИ ИСПДн и т.д. вплоть до аттестации ИСПДн и разработку необходимой документации и регламентов обслуживания и эксплуатации.

Для средней оценки временных затрат (ранее попытки их посчитать предпринимались не раз (*), но мы будем основываться на актуализированных данных) мы выделили главные этапы таких работ и полученные результаты свели в Таблицу 1.


Таблица 1. Оценки затрат времени оператора ПД на основные этапы по приведению ИСПД в соответствие с требованиями ФЗ-152

Этап Оценка затрат времени, месяцы
Регистрация оператора ПД 1-2
Лицензирование 2-3
Классификация и категорирование 1-2
Разработка и согласование модели угроз 1-2
Сертификация 3-5
Аттестация 2-3

Если сложить значения для указанных этапов, то по усредненным показателям получится 10-14 месяцев, т.е. никак не меньше года. Это – оценки сегодняшнего дня. Срок определен, до 1 января 2010г. осталось чуть более месяца. Представим себе, что по мере накопления опыта и выстраивания бизнес-процессов, в том числе поставки некоторых схожих типов работ «на поток», общими усилиями нам удастся выдержать одногодичный срок. Спасет ли это ситуацию? ФСТЭку придется призвать на помощь всех лицензиатов ФСБ России и собственных, специализирующихся на наиболее трудоемких операциях, имеющих квалифицированные кадры, опыт и необходимое оборудование, подучить их и привлекать к интенсивной работе. По обновленным данным, сегодня таких организаций более 1000.

Наконец, попробуем грубо оценить число систем, нуждающихся в полном цикле работ, занимающих сегодня в среднем 1 год. Экспертные оценки разнятся, но никто из опрошенных не называл цифру менее 100 тысяч. Примем ее в качестве наименьшей для проведения интегральных оценок. Итак, мы имеем следующие исходные данные:

  • минимальный средний срок проведения основных этапов работ 1 год для каждой ИСПДн;
  • максимальное число центров по проведению работ по подготовке операторов к лицензированию, согласованию модели угроз, сертификации и аттестации ИСПД – 1000;
  • минимальное количество ИСПДн, для которых необходимо выполнять весь рассмотренный цикл работ по приведению информационной системы в соответствие с ФЗ-152, примем 100 000 шт.

В итоге, на проведение такой работы в масштабах страны, как нетрудно оценить, уйдет 100000/100 = 100 лет. Поскольку каждая уполномоченная организация может качественно выполнять одновременно не более 10 работ, то этот срок может снизиться до 10 лет.

Что делать?

Нередко можно услышать, что сейчас наступил период глубокого осмысления требований №152-ФЗ и соотношения их с возможностями – надо реально оценивать риски и стремиться к выполнению закона и подзаконных актов. Можно, конечно, ждать предстоящих изменений в законе и требований, тем более, как было неоднократно заявлено, ожидается выпуск описаний отраслевых типовых моделей нарушителей и соответствующих методик построения систем защиты. Ждать – да, но не сидеть при этом сложа руки. Если уже классифицированы ИСПДн, разработана модель угроз, создана концепция защиты и проработан ясный путь выполнения требований – пора представить этот проект на рассмотрение во ФСТЭК России, прорисовав конкретные меры и сроки. Не стоит ждать проверок. Нужно как можно скорее выслать уведомление в Роскомнадзор. При этом желательно посоветоваться с лицензиатами ФСТЭК России на правильность подаваемых сведений. Список рекомендаций можно продолжить...

Заключение

Судя по ходу новейшей истории, Россия все глубже интегрируется в международную семью, готовится к вступлению в ВТО. Более 10 млн. россиян ежегодно выезжают за рубеж, развивается международное сотрудничество во многих сферах. Это, безусловно, должно отражаться на требованиях законодательства внутри страны и способствовать гармонизации этих требований с международными. Указанная тенденция отслеживается и в последних проектах закона об ЭЦП – он все более напоминает европейские законы. Но европейская история формирования законодательной базы защиты персональных данных насчитывает более чем тридцатилетнюю историю. Первый закон о защите персональных данных, устанавливавший правила хранения и предоставления информации о гражданах, был принят в Германии в федеральной земле Гессен в 1970 году. Та же Венгрия трижды меняла своё законодательство о защите персональных данных. Наверное, подобный путь (надеемся, он будет короче) предстоит пройти и нам. Будем надеяться, что столь необходимые изменения последуют как можно скорее и послужат реальной защите как прав граждан, так и повышению уровня информационной безопасности нашей страны.