Защита персональных данных: теория и практика
<br>Комментарий Алексея Сабанова, заместителя генерального директора компании "Аладдин Р.Д."
Перед уходом на летние каникулы Госдума приняла закон “О внесении изменений в Федеральный закон «О персональных данных»”, а президент страны 25 июля подписал его. Отныне все информационные системы персональных данных (ИСПДн) должны соответствовать требованиям закона “О персональных данных” (ЗоПД), и никаких переносов сроков его введения больше не предвидится.
Тема соответствия вновь на слуху. Осень нынешнего года обещает быть жаркой для операторов персональных данных (ПД). Их в стране около 7 млн., а с выполнением требований ЗоПД, как считают эксперты, дела у них обстоят, мягко говоря, неважно. Так, согласно данным, опубликованным на сайте Роскомнадзора, из общего числа операторов ПД зарегистрировалось на сегодня в этой организации около 3% .
Основные итоги пятилетки закона
Напомним, что ЗоПД был принят еще в 2006 г., и за прошедшие пять лет законодательные власти страны дважды переносили сроки его полностатейного введения. Время подвести итоги пятилетней практики применения закона.
Эксперты, к которым мы обратились за комментариями по данной теме, единодушно признают важность ЗоПД, отмечая при этом масштабность и глубину его влияния. Генеральный директор компании S-terra CSP Сергей Рябко видит в нем “благое намерение демократического толка, актуальное как декларация гуманистических ценностей в России”. Руководитель группы ИБ управления правовой информатизации Верховного Суда РФ Владимир Чаплинский считает, что из всех законов, регулирующих ИТ, только этому удалось “разбудить” информационное сообщество страны, стать толчком для развития технологий ИБ гражданского назначения и экономики ИБ. Руководитель сектора продакт-менеджмента компании “Доктор Веб” Вячеслав Медведев называет ЗоПД “первым в истории современной России документом, реально повлиявшим на уровень ИБ страны”. Заместитель генерального директора компании “Аладдин Р.Д.” Алексей Сабанов считает ЗоПД одним из главных драйверов развития российской ИТ-индустрии в последние пять лет.
Активная общественная деятельность, развернувшаяся вокруг ЗоПД, которую отмечает руководитель отдела консалтинга компании Positive Technologies Дмитрий Кузнецов, привела, по его наблюдениям, к следующим значимым результатам: у граждан появилась практическая возможность защищать свое конституционное право на неприкосновенность частной жизни; специалисты в области ИБ осознали себя экспертным сообществом, увидев, что критика нормативных документов приносит плоды и госрегуляторы прислушиваются к их аргументированному мнению; развивается практика публичного обсуждения проектов регулирующих документов, причем обсуждения инициируют сами регуляторы.
Президент некоммерческого партнерства “Национальная страховая гильдия” Ирина Алехина считает, что государство и бизнес начали слушать друг друга и сближать позиции: “Тема безопасности ПД стала публичной, актуальной, ее начали профессионально обсуждать в объединениях, на конференциях и семинарах. Я могу назвать, по крайней мере, три площадки, которые способствовали этому процессу: это и консультативный совет при Роскомнадзоре, рабочая группа при Минкомсвязи и международная конференция «Защита персональных данных»”.
Генеральный директор компании LETA Андрей Конусов отметил, что именно ЗоПД привлек к вопросам обеспечения защиты информации внимание большого числа руководителей как коммерческих, так и государственных структур, которые до этого совершенно ими не интересовались. Под его воздействием набирает силу движение за разработку отраслевых стандартов ИБ, которое следует считать положительным явлением.
По мнению директора по исследованиям и инновациям компании “АйТи” Бориса Славина, основным итогом пятилетнего существования ЗоПД стало равновесие между чрезмерно жесткими и не всегда осмысленными требованиями регуляторов, слабым контролем за их исполнением и возможностью операторов ПД исполнять все предписания закона. Закон стимулировал рост объема работ в области защиты ПД, который к настоящему времени стабилизировался.
И все же, в ситуации с ЗоПД остается множество принципиальных проблем. Как отметил г-н Сабанов, национальный закон сильно отличается от модельного, рекомендованного Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, о наблюдательных органах и трансграничной передаче информации, которая легла в его основу и которую Россия подписала, сделав, однако, акцент на технические средства защиты. При этом, несмотря на технологический крен, по его мнению, связанные с ЗоПД ожидания разработчиков продуктов обеспечения ИБ не оправдались и выгоду от его принятия получили только некоторые консалтинговые компании и ряд интеграторов, по его выражению, “поставившие дело на поток”, особенно за последние два года.
По мнению г-на Чаплинского, закон выявил несовершенство законодательной базы в сфере ИБ ввиду отсутствия четких формализованных целевых критериев, механического переноса нормативных требований из других областей правового регулирования без учета специфики и целей регулирования ИБ, а также консерватизм в привлечении общественности и научного сообщества к разработке законов.
Г-н Славин еще более радикален в оценке привлечения общественности к законотворчеству и заявляет, что надежды на то, что закон позволит привлечь общественные организации и бизнес-ассоциации к формулированию требований по защите ПД оказались похоронены среди бюрократических оговорок. Именно поэтому новые поправки вызвали такой негативный отклик со стороны бизнес-сообщества.
Несмотря на отмеченные экспертами успехи с уровнем публичности обсуждения ЗоПД, директор департамента развития и маркетинга компании “ЭЛВИС-ПЛЮС” Роман Кобцев считает, что подавляющее большинство граждан остается вне проблем защиты ПД. Население, как он отметил, только начинает образовываться в этой области и, к сожалению, в первую очередь это относится не к самым добропорядочным его представителям. “Наверное, новой волной вхождения закона в жизнь страны станет этап, когда о необходимости правильного обращения с ПД будет знать каждый гражданин, а также разовьется соответствующая судебная практика. Пока же все мысли операторов ПД направлены, не на то, как избежать инцидентов с ПД, а на то, как бы половчей отвязаться от назойливых регуляторов”, — считает он.
Анализируя пятилетнюю историю закона, г-н Рябко вспомнил о первой реакции рынка на попытку регулирования защиты ПД: непосильно ни по бюджету, ни по режиму. Значительная часть операторов ПД реагировала на закон по-дембельски: не торопись выполнять приказ, его могут отменить. Зато наиболее зрелые бизнесы в стране (прежде всего, банковский) отказались от профанации защиты ПД, потребовали открытости и гармонизации регулирования и продления сроков подготовки. Накал дискуссий достиг небывалого уровня летом 2009 г., когда по вопросам защиты ПД проводилось по два мероприятия в день. Регуляторы отреагировали на ситуацию: ФСТЭК выпустил обновление требований, а срок подготовки ИСПДн продлили на год.
Некоторые представители профессионального сообщества поставщиков решений, по словам г-на Рябко, оценили сложившуюся ситуацию как появление новой “кормовой базы” и следовали девизу “Вам требуется аттестация ИСПДн — тогда мы идем к вам (с пакетом типовых аттестационных документов)”. Выросли продажи оборудования и ПО для защиты ПД (по оценкам г-на Рябко, с учетом кризисного падения рынка примерно на 5%), при этом рост продаж услуг в области ИБ составил около 40%. В результате, как считает г-н Рябко, сложились традиционные для России отношения между законодательством и его исполнением. ПД в стране сегодня, по его словам, защищены преимущественно бумагами, что вовсе не бесполезно, как он считает, для увеличения безопасности ПД, поскольку наведение порядка — тоже важная мера защиты.
Г-жа Алехина оценивает нынешнюю ситуацию с ЗоПД как переломную: “С одной стороны, закон открыл широкое поле для деятельности целому сектору бизнеса и он этим с благодарностью воспользовался. С другой – слабая подготовка операторов ПД, не позволяющая им четко понять, каким образом с минимальными затратами максимально обеспечить соответствие закону, а также излишне жесткие требования регуляторов к технической стороне вопроса, привели к тому, что большая часть решений оказалась неподъемно дорогой, особенно для малого и среднего бизнеса”.
Парад сертификатов
ЗоПД породил волну сертификации ИБ-продуктов на соответствие его требованиям. Мнения наших экспертов по поводу этого явления не совпадают. Так, г-н Славин считает, что сертификация тормозит внедрение современных средств защиты и затрудняет применение международных стандартов защиты информации в стране.
Если следовать нормативным документам, то, как полагает старший аудитор департамента аудита компании “Информзащита” Алексей Бабенко, средства защиты ПД должны в обязательном порядке пройти процедуру оценки соответствия требованиям закона. Однако на данный момент требования и порядок такой оценки, по его мнению, не установлены и формально ни одно из существующих средств защиты не может использоваться для обеспечения безопасности ПД. Тем не менее компании для защиты ПД часто выбирают средства, сертифицированные ФСТЭК, что, несомненно, ведет к дополнительным затратам на замену уже существующих систем защиты и ограничениям выбора сертифицированных продуктов, в частности для нетиповых операционных систем.
Г-н Кузнецов тоже рассматривает ситуацию с оценкой соответствия как неоднозначную. “Есть несколько форм оценки соответствия — от добровольной декларации до обязательной сертификации. В результате конкретная форма оценки соответствия для средств защиты ПД не определена. Большая часть средств защиты сертифицирована сегодня на соответствие неким техническим условиям, причем эти ТУ пишут сами разработчики средств защиты, включая в них произвольные требования по своему вкусу”, — заметил он.
Свое понимание процедур оценки соответствия требованиям ЗоПД директор по методологии компании “Инфосекьюрити Сервис” Михаил Левашов изложил так: “Сейчас в законодательстве есть только понятие “применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации”. Общедоступных документов по этой процедуре нет, и это должна быть не только сертификация. В зависимости от потребностей оператора и субъекта ПД должен использоваться широкий спектр решений, определяемый лицензиатами, реализующими эти решения. И это могут быть не только “сертифицированные” решения”.
Существенная проблема заключается, по мнению г-на Кузнецова, в том, что обеспечить защиту данных наложенными средствами, пусть даже и сертифицированными, без использования штатных функций безопасности самих информационных систем, технически невозможно. Отсюда он заключает, что требование сертификации средств защиты ПД превращается в фикцию, а в некоторых случаях в инструмент конкурентной борьбы и административного ограничения рынка средств ИБ.
Оппонирует этой позиции г-н Медведев: “Сегодня практически все производители имеют необходимые сертификаты, и операторы ПД могут строить ИСПДн любых типов, используя только сертифицированные продукты. При этом цены на них, как правило, не отличаются от цены несертифицированных решений”.
Столь же оптимистичен в оценке насыщенности рынка сертифицированными предложениями г-н Сабанов: “Решений и продуктов, сертифицированных по различным требованиям, на сегодняшний день достаточно. Можно выбрать любое, подходящее к модели угроз, модели нарушителя и концепции ИБ, принятой в компании. Внедрять подходящие решения и защищать данные можно, но почему-то этого не происходит, во всяком случае, в массовом порядке”.
Г-н Кобцев разъясняет отсутствие массового внедрения сертифицированных ИБ-средств так: “Для защиты ИСПДн не всегда нужны именно сертифицированные средства защиты. В первую очередь дело за правильной категоризацией информационных ресурсов и построением адекватной модели угроз. Да, сертифицированных средств, как отечественных, так и зарубежных, предостаточно. Что же касается их доступности, то это смотря для кого. Крупных операторов ПД вообще вряд ли чем напугаешь, зато у малого и среднего бизнеса любое дополнительное обременение вызывает ужас и негодование”.
По мнению г-на Рябко, сертифицированных ИБ-продуктов сегодня в стране недостаточно, как и до принятия ЗоПД. “Россия не производит функционально полного комплекса продуктов защиты информации. Наши ИБ-продукты не конкурентны на мировом рынке (исключение — разработки “Лаборатории Касперского”). Национальный производитель опирается на протекционизм в виде требований сертификации (что не есть плохо само по себе — государство тем самым поддерживает отечественного разработчика в области критических для себя технологий). В итоге все-таки необходимый минимум для защиты набирается. Цены на сертифицированную продукцию выше, поскольку, во-первых, рынок для амортизации затрат на ее разработку никак не мировой, а только национальный, и, во-вторых, производитель сам обременен дополнительными затратами на лицензирование и сертификацию”, — комментирует он ситуацию с сертификацией.
Г-н Чаплинский обращает внимание на то, что наличие сертификата не означает, что продукт актуальный, передовой, эффективный. Сертификация средств ИТ и ИБ, по его мнению, не дает пользователям полной гарантии на этот счет. “Есть примеры сертифицированных средств ИБ, которые в плане выполнения функций защиты, возможно, достаточно хороши, но как ИТ-продукты являются сырыми, — сказал он. — По-настоящему оценить эффективность ИБ-продуктов можно только эксплуатируя их некоторое время в реальных условиях, причем, чтобы был выбор, надо пробовать несколько продуктов. И здесь сертификация не помощник, поскольку она не оценивает эффективность и оптимальность применения в конкретных условиях”.
По мнению заместителя генерального директора компании InfoWatch Рустэма Хайретдинова, хотя технологий и продуктов защиты любой информации сегодня достаточно, следует еще учитывать, насколько быстро сертифицируются по требованиям ЗоПД продукты, уже имеющие другие государственные сертификаты, например по гостайне или отсутствию НДВ (расшифровать). Что же касается ценовых вопросов, то, поскольку сам процесс сертификации требует денег, сертифицированные продукты, возможно, считает он, и станут дороже, но не настолько, чтобы говорить об изменении уровня их доступности.
Требование использовать специально сертифицированные продукты г-н Хайретдинов назвал самым опасным недостатком ЗоПД: “Это ограничивает возможности операторов ПД и облегчает задачу взлома злоумышленникам. Принципиальным недостатком закона, по его мнению, является также отсутствие ответственности оператора ПД за раскрытие ПД — он отвечает только за их ненадлежащую защиту. В результате задача защиты данных подменяется задачей прохождения аттестации ИСПДн по требованиям ЗоПД, и аттестованные системы считаются защищенными. Разница тут такая же, как между знанием математики и сдачей ЕГЭ: хорошая оценка вовсе не означает реальных знаний. Эта коллизия проявится достаточно быстро — как только из аттестованных систем начнут утекать данные и встанет вопрос: «Кто виноват?»” — заявил он.
Летняя редакция ЗоПД — что же изменилось?
Как считает г-н Левашов, в измененном в июле законе уточнены почти все определения. Так, ИСПДн в новой редакции определена как “совокупность содержащихся в базах данных персональных данных”, что по его мнению, имеет фундаментальное значение, так как теперь любая информационная система, содержащая ПД, является ИСПДн. В соответствии с этим новым определением придется корректировать некоторые отраслевые стандарты безопасности ПД — те, в которых указывается, что содержащие ПД информационные системы, установленные не в целях обработки ПД, не являются ИСПДн. Внесены важнейшие, на его взгляд, изменения в определение сроков хранения ПД, устраняющие один из главных недостатков предыдущей редакции, связанный с ограничением сроков хранения ПД. Конкретизированы и расширены возможности обработки ПД, на которую не требуется согласие субъекта ПД. Значительно расширены возможности по форме предоставления субъектом ПД согласия на их обработку, по продолжению обработки ПД после отзыва субъектом согласия на это. Уточнены сроки повторных обращений субъектов ПД к операторам ПД, что затрудняет злоупотребления этим. Госрегуляторы (кроме Роскомнадзора) теперь имеют право проверять только государственных операторов ПД, правда, как исключение — обоснованно (?) — могут прийти и к негосударственным.
К фундаментальным изменением в ЗоПД г-н Левашов относит появление новой статьи, основу которой составляет тезис о том, что оператор ПД самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ЗоПД. Однако при этом регуляторы оставили за собой контроль нескольких важных направлений деятельности операторов ПД, из которых, по мнению г-на Левашова, вопрос вызывает упомянутая выше процедура оценки соответствия средств защиты информации в установленном порядке. Он считает целесообразным передать полномочия по проведению таких оценок соответствия лицензированным организациям.
После внесения изменений и ввода в действие всех статей в законе, по мнению г-на Сабанова, все еще отсутствует полнота и самодостаточность: без подзаконных актов не всегда можно понять, что регуляторы имеют в виду и как выполнять их требования. “В законе осталось много размытых формулировок и “белых пятен”, допускающих разные толкования, многие положения не доведены до конца. Тем не менее новый вариант в целом лучше предыдущего — мы все-таки сделали очередной шаг вперед. Многие формулировки взяты из мирового опыта, и это радует. В целом движение идет в правильную сторону, и, мне кажется, это не последняя версия закона”, — считает он.
Г-н Кобцев критикует концепцию закона, предлагая смещать акценты на повышение ответственности операторов ПД за утечки. “О недостатках данного конкретного закона бессмысленно говорить, когда нужно устранять недостатки всей правовой системы в стране, — заявил он. — Как прежняя, так и новая редакции позволяют субъекту ПД обратиться в суд и потребовать возмещение ущерба, понесенного вследствие утечки его ПД, на основании ГК РФ. Но на практике судебная тяжба с крупным телеком-оператором, не говоря о ГИБДД или ФМС, – дело трудное”.
На необходимость изменения сути закона указывает и г-н Конусов: “Закон и подзаконные акты в нынешней редакции определяют требования к обеспечению защиты ПД, а затем регуляторы проверяют выполнение этих требований и наказывают за их несоблюдение. Ответственность за факт утечки ПД при этом минимальна. Очевидно, что универсальные и обобщенные требования, разрабатываемые на уровне государства и регуляторов, никогда не смогут учесть все специфические особенности каждой из компаний. Поэтому нужно создать такие предпосылки, чтобы компании не формально, а реально оценивали свои угрозы и защищались от них. Сейчас это делать необязательно, поскольку регуляторы проверяют только выполнение формальных требований”, — считает он. Он уверен, что выходом из этой ситуации может стать серьезное повышение ответственности операторов ПД за утечки: если штраф за утечку станет сопоставим с затратами на внедрение системы защиты, многие руководители без колебаний пойдут на выделение необходимых ресурсов защиты от утечек. Сегодня это не так и лишь самые ответственные компании строят у себя полноценные системы защиты информации, большинство же ограничивается созданием заплаток, которыми можно прикрыться от проверяющих, а реальная защита ПД отходит на второй план.
Г-жа Алехина акцентирует внимание на том, что регуляторы, сохранив концепцию ЗоПД, всю ответственность за нарушение конфиденциальности ПД перенесли на себя, поскольку оператор ПД, формально выполнивший организационно-технические требования закона, невиновен, несмотря на утечки.
Г-н Кузнецов тоже рассматривает наличие обязательного набора требований по организации защиты ПД как наследуемый основной недостаток ЗоПД . “Фактически государство в лице ФСБ и ФСТЭК взяло на себя обязанность классифицировать различные виды ПД, оценивать актуальные для них угрозы и вырабатывать обязательные требования по защите от этих угроз. Как показала практика, операторы ПД не располагают необходимыми для решения такой задачи ресурсами”, — заявил он.
Как следствие, отмечает г-н Бабенко, некоторые операторы ПД, например интернет-проекты, достаточно быстро нашли довольно простое решение проблем с ЗоПД, выводя обработку и хранение данных за пределы страны. “В результате, вместо того чтобы стимулировать развитие новых ИТ в нашей стране, закон тормознул их”, — указал он.
Конкретизировав некоторые требования, прописав часть подзаконных требований непосредственно в законе, законодатели, как отметил г-н Чаплинский, оставили прежний непродуманный понятийный аппарат, прежде всего бессмысленно широкое понятие самих ПД, нечеткое толкование специальных и биологических ПД, трансграничной передачи ПД, противоречивое определение сферы действия данного закона, упоминание таких неформальных требований, как “справедливая основа” и т. п. По мнению г-на Чаплинского, все это означает, что принципиальных изменений в законе не произошло.
Как существенный недостаток новой редакции ЗоПД г-н Медведев рассматривает тот факт, что на данный момент в законе определены требования только к так называемым типовым ИСПДн. Что же касается внесенных изменений, то, как он считает, они существенно подняли планку требований к операторам ПД и теперь требуется согласованная работа по выпуску подзаконных актов их детализации.
Этому может помешать то, что при финальном обсуждении поправок в июле, как отметил г-н Кузнецов, фактически был поставлен крест на попытке закрепить сложившуюся практику партнерства между государством и бизнесом, при которой требования по защите ПД в отдельных отраслях (связь, банковское обслуживание, страхование и т. д.) вырабатывались ассоциациями и союзами организаций, занимающихся этими видами деятельности.
По оценке г-на Рябко, закон после внесения изменений стал чище, конкретнее, оставшись при этом нереалистичным. В качестве примера он указывает на невозможность выполнения в ряде бизнес-процессов требования о получении письменного согласия от субъекта ПД на автоматизированную обработку ПД. “А что такое письменное согласие? Электронное письмо из Интернета с неаутентифицированным ником является таковым? А если нет, тогда мы быстренько введем систему всеобщей идентификации/аутентификации? Или во все электронные обмены ПД включим бумажные письменные согласия?” — спрашивает он.
Соглашаясь с г-ном Чаплинским, г-н Рябко отметил, что закон, как и прежде, не вводит ни строгого определения ПД, ни основ для классификации ПД, т. е. не устанавливает однозначно трактуемые условия применения мер защиты. Он, как и большинство наших экспертов, считает, что главный недостаток заключен в способе исполнения ЗоПД: “В ЗоПД применяется прямое регулирование: защищайте ПД так-то и так-то. А оно, как всегда, проигрывает косвенному. Не нужно указывать, как защищать. Нужно просто обеспечить неотвратимость компенсации ущерба, нанесенного владельцу ПД недобросовестным оператором. Обсуждая недостатки закона, я категорически дистанцируюсь от охаивания его авторов. В данном случае (в отличие, скажем, от закона “Об электронной подписи”) родина двинула умных и достойных людей в неравный авангардный бой. Что бы они ни предложили — их задача неразрешимая. Для строгого исполнения политических прекраснодуший типа ЗоПД в сегодняшнем мире нет ни технологической базы, ни законодательных основ. И это — явление глобальное. Прекраснодушие законодателей везде компенсирует плохое исполнение законов. Ни одна конституция не декларирует чьего-либо права на унижение граждан. Но меня, по моему согласию, но не принимая во внимание, что у меня отсутствует реальный выбор, унизительно, как заключенного, обыщут что в российском, что в американском аэропорту. Это — незаконно по основному закону. Но мир не живет по закону”.
За что боролись? Оценка состояния защищенности ПД в стране
Оценивая общее состояние защищенности ПД в стране, наши эксперты практически единодушно признают ее низкой. В качестве аргумента они ссылаются на то, что у нас свободно продаются базы данных с ПД граждан.
Единственным оптимистом среди наших экспертов оказался г-н Рябко, который оценивает защищенность ПД как нормальную: “Конфиденциальность информации в целом по стране обеспечивается. Небогато, но удовлетворительно, и ПД в этом отношении ничем от другой конфиденциалки не отличаются.”
По мнение большинства экспертов, ЗоПД на реальную защищенность ПД влияет слабо. Некоторые из них не связывают это с технической стороной организации защиты ПД. Так, г-н Чаплинский оценивает техническую составляющую организации защиты ПД как неплохую — есть технологии, оборудование, ПО, грамотные специалисты. Однако это, по его мнению, нивелируется малым опытом тех же специалистов, недооценкой организационных мер и мероприятий по ИБ в целом, озабоченностью руководителей “более насущными” вопросами.
Г-н Кузнецов указывает на наличие в информационных системах российских коммерческих и государственных структур нескольких классов уязвимостей, использование которых, как правило, позволяет нарушителю преодолевать защиту сетевого периметра и получать доступ к обрабатываемым данным. В первую очередь он называет слабые пароли, уязвимости ПО на рабочих местах и уязвимости веб-приложений.
Как считает г-н Славин, ИБ прежде всего зависит от прозрачности и управляемости бизнес-процессов, связанных с обработкой ПД, а не от использования сертифицированных средств передачи и обработки данных. Пока же культура процессного управления в российских компаниях, по его оценке, невысока.
Согласно наблюдениям г-на Сабанова, на те структуры, которые и до появления ЗоПД занимались защитой ПД, закон повлиял положительно: уровень защищенности ПД у них был достаточно хорошим, а с принятием закона повысился, поскольку они стали руководствоваться изданными в рамках ЗоПД документами, докупили и внедрили сертифицированные ИБ-средства. Для тех же компаний, которые не знали о том, что нужно в принципе заниматься вопросами ИБ и защищать ПД, многие требования закона оказались совершенно новыми. Так как сами они, заметил г-н Сабанов, не разбираются в вопросах ИБ, то привлекают лицензиатов ФСТЭК, которые, как правило, рекомендуют некоторые организационные меры и предоставляют нормативную документацию, чего на начальном этапе, по его мнению, бывает достаточно. И тем не менее его вывод таков: реальной защищенности ПД у большей части операторов ПД как не было, так и нет и в ближайшее время не будет.
ЗоПД и электронные госуслуги
Самым крупным оператором ПД в стране является государство. То, что среди похищенных баз данных с ПД граждан нередко встречаются и базы данных госструктур, дает г-же Алехиной упрекнуть госрегуляторов в том, что некорректно требовать с коммерческих предприятий то, что не удается исключить у себя.
На слабую защищенность ПД в государственных учреждениях, особенно муниципального уровня в небольших городах, указывает и г-н Хайретдинов. Как некоторое оправдание этому, по его словам, можно рассматривать отсутствие у них бюджетного обеспечения проектов по защите ПД.
Построение информационного общества актуализирует задачу построения электронного государства, подразумевающую в том числе и создание системы электронных госуслуг для населения. О нынешней ситуации с организацией защиты ПД при оказании электронных госуслуг г-н Рябко рассказал, отталкиваясь от личного опыта: “Получал я недавно реквизиты для доступа к госуслугам. Просят подписать декларацию о моих ПД. В ней написано, что я фактически отказываюсь от всякой их защиты в пользу оператора. Я спрашиваю: “А оператор какие обязательства на себя в этой связи берет (в тексте декларации по этому поводу — ни слова)?” Мне говорят: “Вопрос не к нам, а в юрслужбу. Можете не подписывать, ежели не нравится”. Получается, что одной рукой государство издает закон, а другой государственный оператор открещивается от его исполнения, прикрывая свое мягкое место согласием владельца ПД”.
Положение дел усугубляется, если учесть, что именно программы построения электронного государства могут стать полигоном для широкого внедрения в стране таких технологий, как виртуализация и облачные вычисления.
Как отметил ведущий эксперт по вопросам технической защиты информации компании “Код Безопасности” Александр Лысенко, российские компании уже оценили преимущества использования виртуализации, поэтому вопросы приведения виртуальных инфраструктур в соответствие законодательству, регулирующему ИТ, становятся актуальными. ПД не перестают быть таковыми при их переносе в виртуальную среду обработки, и защищенность виртуальной инфраструктуры тоже должна соответствовать требованиям ЗоПД. Сегодня закон не делает различий между физической и виртуальной средой обработки, однако приведение виртуальной инфраструктуры в соответствие ЗоПД имеет свои особенности. По мнению г-на Лысенко, выручить могут сертифицированные программные средства защиты ПД в виртуальной среде.
Как отметил г-н Сабанов, вопросы защиты ПД должны учитываться уже при запуске любого государственного ИТ-проекта, несмотря на то что существует мнение, что это тормозит их исполнение. “Я считаю, что обеспечение ИБ электронных госуслуг —обоснованное требование. Мошенничества в данной сфере будут и в отношении объектов недвижимости, и в отношении интеллектуальной собственности. Если мы не будем учитывать прав граждан на защиту ПД, то вот тут-то как раз развитие электронного государства и информационного общества может серьезно затормозиться”, — заявил он.
По мнению г-на Чаплинского в этой области гораздо большее значение, чем простое соблюдение формальных требований законов, имеет понимание руководителями и специалистами госструктур ответственности как перед государством, так и перед обществом.