8 июля 2006 года депутаты Государственной думы в третьем чтении приняли закон № 152-ФЗ «О персональных данных» . Для подготовки необходимых организационных и технических мер по защите данных его реализацию отложили до 1 января 2010. Однако спустя три года оказалось, что этого срока недостаточно – на данный момент лишь 5% организаций соответствуют предъявленным законом требованиям. В чем же проблема?
Коммерческие организации недовольны значительными тратами на приведение информационных систем в соответствие с требованиями безопасности. По некоторым оценкам, стоимость защиты данных в среднем вырастет в два-пять раз, в крупных структурах составив несколько миллионов долларов. Органы государственной власти, муниципалитеты и бюджетные организации также должны пойти на значительные расходы, которые в период финансовой нестабильности особенно болезненны. Тем более, что компенсации этих трат не закладывались ни в федеральный, ни в региональные бюджеты.
Страховые компании также выражают недоумение текущим требованиям закона № 152-ФЗ. Запрет на передачу третьим лицам полученных при заключении страхового договора персональных данных (ПД) клиента без его согласия, закрывает для страховых компаний возможность получить информацию о своих клиентах из единой базы данных. Таким образом, риски страховщиков растут – автоматически повышая стоимость страховки для клиентов.
В итоге, из-за массовой неготовности предприятий исполнять предписания нового закона, в Госдуму поступило предложение отложить дату его вступления в силу. С этой инициативой категорически не согласилось Министерство связи и массовых коммуникаций РФ, предложившее закон принять, но начать проверки только через два года.
Тем не менее, 20 ноября Государственная дума приняла законопроект «О внесении изменений в федеральный закон «О персональных данных». Согласно документу, срок, до которого информационные системы персональных данных подлежат приведению в соответствие с законом № 152-ФЗ, переносится на 1 января 2011 года.
Кроме того, проект отменил прописанное в статье 19 требование использовать для защиты персональных данных криптографические средства, что поможет привести закон в соответствие с положением «О лицензировании деятельности по технической защите конфиденциальной информации», где также нет упоминания о шифровальных средствах защиты.
ТРУДНОСТИ ПЕРЕВОДА
Для чего же был принят такой спорный закон? Одной из причин стал скачок киберпреступности, в результате которого участились кражи конфиденциальных данных с их последующей перепродажей. Второй причиной стал выход России на международные экономические рынки и возникшая в связи с этим необходимость устранить торговые барьеры, приведя внутреннее законодательство в соответствие с европейской практикой защиты персональных данных.
Дело в том, что, согласно правовым нормам Евросоюза, персональные данные могут передаваться только в страны, обеспечивающие аналогично высокий уровень информационной защиты. Зачастую из-за этого возникали трудности при обмене сведениями с российскими компаниями, вплоть до срыва многих перспективных проектов.
Очевидны благие цели разработчиков закона, однако его реализация, как уже было отмечено выше, затруднена по многим объективным причинам, не последней из которых является неоднозначность и расплывчатость некоторых формулировок:
Статья 1. Сфера действия настоящего Федерального закона
Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных… с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
Трудно понять, что подразумевается под «использованием средств автоматизации» и под «характером» такого использования. Если данные были посчитаны на калькуляторе и записаны в блокнот – подпадают ли они под действие закона? А если вместо калькулятора были использованы счеты, а вместо блокнота – программа Notepad или записная книжка в смартфоне? Четкого определения средств автоматизации в законе не дается, хотя упоминаются они неоднократно.
Вот еще один пример:
Статья 6, пункт 2. Условия обработки персональных данных
Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:
…
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
До принятия закона представители СМИ выражали опасение, что запрет на использование личной информации о ком-либо без его согласия фактически означает запрет на любое упоминание реально существующих людей (а заодно и существовавших, если вспомнить о правах наследников) – ведь в печатных изданиях упоминаются сотни человек, получить необходимое разрешение у каждого из которых физически невозможно.
Проблему решили, добавив вышеприведенное исключение. Однако эта поправка внесла дополнительную неразбериху – как точно определить, кто является журналистом, ученым или писателем? Необходимо ли журналисту иметь профильное образование? Должен ли ученый входить в состав РАН? Обязан ли писатель издаваться, чтобы называться таковым, – или достаточно вести свой блог?
Кроме того, каждая организация может ввести в штат представителя «творческой деятельности», поручив ему работу с базами персональных данных, избежав тем самым проблем с документацией, и при этом остаться в рамках закона.
Однако, если не считать подобных лазеек, все операторы ПД должны обеспечивать документально заверенное согласие физических лиц на обработку их персональных данных и регистрировать базы ПД в уполномоченном органе. Контроль за этим процессом будет обеспечивать Федеральная служба по надзору в сфере связи и массовых коммуникаций (Роскомнадзор).
Кроме того, любые операции, связанные с обработкой и использованием ПД необходимо документировать. В противном случае предусмотрено наказание за неисполнение закона в виде как административной ответственности (включая временный запрет на обработку ПД), так и уголовной.
СПАМ-ФИЛЬТР
Теперь рассмотрим ключевую часть закона, затрагивающую тему информационной безопасности. К сожалению, в законе напрямую не формулируются те информационные угрозы, с которыми он призван бороться. Однако некоторые положения явно направлены на обеспечение защиты не только в физическом, но и в виртуальном пространстве:
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
Иными словами, теперь и коммерческие, и политические организации должны получать предварительное согласие гражданина на рассылку рекламы. Стоит обратить внимание, что «обработка персональных данных признается осуществляемой без предварительного согласия, … если оператор не докажет, что такое согласие было получено». Нетрудно догадаться, что эта статья нацелена против распространителей спама (хотя определение спама в законе отсутствует). А упоминание запрета на политическую агитацию без согласия субъекта выглядит почти революционно.
Надо отметить, что, согласно п. 4 статьи 9, обработка персональных данных осуществляется только с письменного согласия, которое должно включать: ФИО, адрес и паспортные данные субъекта, информацию о потенциальном операторе, детальный перечень запрашиваемых данных, цель их получения, способ обработки, а также срок действия согласия. Кроме того, оператор ПД должен уведомлять Роскомнадзор о намерении осуществлять обработку данных и – при необходимости – доказывать получение согласия.
При «честных» деловых контактах, будь то прием на работу или коммерческая сделка, подобная бюрократическая процедура не вызовет особых затруднений – просто еще один бланк, который необходимо заполнить. А вот для спамеров практически невозможно выполнить эту норму – так что любая рассылка спама, будь то рекламная листовка или электронное письмо, будет явным нарушением закона.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
…
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
Собственно, ради этой статьи все и затевалось. Обеспечение безопасности не только персональных, но и любых конфиденциальных данных стало насущной проблемой всего мира – и Россия здесь не исключение. Согласно докладу международной аудиторской компании «Потеря данных: статистический анализ KPMG International», за последние четыре года в США, Великобритании и континентальной Европе произошло свыше тысячи крупных утечек информации, в результате которых были утрачены личные данные 280 миллионов человек. Эти инциденты затронули не только все сектора экономики, но и государственные организации (на них пришлось 19% случаев).
Аналогичное исследование по России опубликовала компания InfoWatch: в 2008 году произошло свыше 250 крупных инцидентов в сфере информационной безопасности, затронувших интересы более 100 миллионов человек (причем, в соответствии с европейской статистикой, каждый пятый инцидент зафиксирован в госучреждениях). Через Интернет было утрачено 29% данных, а через мобильные носители – 25%.
Следует учесть, что риск потери конфиденциальной информации значительно вырос именно сейчас, в период массовых сокращений. Уволенные сотрудники могут забрать с собой данные о внутренних процедурах, условиях договоров и клиентах компании, что способно нанести значительный ущерб.
В свете подобных происшествий операторам ПД и без закона №152 насущно необходимо разработать организационные и технические меры, которые стоит предпринять для охраны собственных информационных систем. Надо отметить, что этот вопрос можно делегировать IT-компаниям, а можно разработать комплексную защиту самостоятельно. В любом случае информационная система должна пройти проверку на безопасность персональных данных, получив сертификаты Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ).
ПРОВЕРКА НА ПРОЧНОСТЬ
Если Роскомнадзор регулирует порядок обработки персональных данных, то ФСТЭК и ФСБ оценивают их защиту. Помимо положений, прописанных в статье 19 (о реализации необходимых организационных и технических мер для защиты ПД от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения и т. д.), закон требует, чтобы все организации, имеющие дело с персональной информацией, защищали ее сертифицированными средствами.
Статья 25. Заключительные положения
…
3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.
По большому счету, закон подразумевает не столько разработку собственных систем безопасности, способных пройти сертификацию ФСТЭК и ФСБ, сколько привлечение сторонних предприятий, уже прошедших сертификацию. Речь, в частности, об антивирусных компаниях, чьи программные продукты удовлетворяют требованиям федеральных служб и могут обеспечить защиту персональных данных в соответствии с законом №152.
Процесс получения сертификата описывают множество правовых актов, включая законы №5151-I «О сертификации продукции и услуг» (10.06.1993), №5485-1 «О государственной тайне» (21.07.1993), №608 «О сертификации средств защиты информации» (26.06.1995). Согласно текущим правилам, существует два вида сертификации информационных продуктов: по недекларированным возможностям (НДВ) и по техническим условиям (ТУ). Обе процедуры проводит Федеральная служба по техническому и экспортному контролю.
Сертификация по ТУ отличается невысокими требованиями к представленному на проверку ПО: производитель сам пишет технические условия, которым должен соответствовать его продукт, а специалистам ФСТЭК остается удостовериться, что заявленные производителем ТУ соответствуют действительности. По итогам проверки выдается сертификат, подтверждающий это соответствие.
Что касается сертификации по НДВ, то эксперты ФСТЭК осуществляют проверку по определенному уровню контроля безопасности, подтверждающему, что данный программный продукт не содержит недекларированных возможностей и может использоваться для защиты конфиденциальной информации (4-й уровень контроля) и информации, составляющей государственную тайну (от 3-го до 1-го уровня контроля).
С появлением закона «О персональных данных» эта процедура не изменилась, не появилось новых требований к программным продуктам. Согласно постановлению Правительства РФ №781 от 17.11.2007, производители систем защиты информации обязаны пройти процедуру соответствия ранее установленным требованиям, которые были прописаны руководящим документом ФСТЭК (речь о той же процедуре сертификации по отсутствию недекларированных возможностей).
Эти правила касаются, в основном, коммерческих предприятий. С государственными службами все гораздо строже – согласно приказу Министерства связи и массовых коммуникаций РФ № 104 от 25.08.2009, для защиты информации в органах государственной власти (в том числе информации, составляющей государственную тайну) программный продукт обязан иметь сертификат Федеральной службы безопасности.
Эти сертификаты выдает Центр по лицензированию, сертификации и защите государственной тайны ФСБ. Приказом №564 (13.11.1999) были утверждены положения о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, а также о знаках соответствия. Данная процедура, в отличие от сертификации ФСТЭК, закрыта, и список предъявляемых требований без нужного уровня доступа не получить – однако о надежности сертифицированного ФСБ программного продукта можно судить по авторитету организации.
Несмотря на предполагаемую суровость процедуры сертификации ФСБ, существуют разработчики, чьи программные средства ее прошли. К охране особо важной информации государством допущены продукты всего двух российских антивирусных компаний – Dr.Web и «Лаборатории Касперского». Сертификаты подтверждают, что данные продукты могут использоваться в органах государственной власти Российской Федерации для защиты информации, содержащей сведения, составляющие государственную тайну.
«Лабораторию Касперского» стоит упомянуть отдельно, поскольку Федеральная служба по техническому и экспортному контролю 3 ноября 2009 года выпустила специальное заявление, где было отмечено, что программные продукты ЛК «могут использоваться при создании информационных систем персональных данных до первого класса включительно». Продукты Dr.Web такого комментария от ФСТЭК не получали.
***
Как известно, реализация федерального закона №152-ФЗ «О персональных данных» была отложена на год. За это время предстоит многое сделать не только компаниям-операторам ПД, но и законодательной власти. 18 ноября на заседании Комитета Госдумы по конституционному законодательству и государственному строительству был рассмотрен вопрос о дальнейшем совершенствовании закона №152. По мнению членов Комитета, следует исключить возможность расширительного толкования требований по защите ПД на уровне подзаконных актов, а также обеспечить последовательную реализацию принципов соразмерности затрат возможному вреду субъекту ПД и соответствия требований природе обрабатываемых данных и масштабам обработки.
Однако, несмотря на необходимость дальнейшей правки закона «О персональных данных», его принятие в конечном итоге отвечает интересам и государственных, и частных предприятий:
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Кроме того, единые стандарты сертификации позволят не только защитить личные данные граждан РФ, но и предохранить операторов ПД от инцидентов, связанных с утечкой других конфиденциальных данных. В конечном итоге, правовое включение России в глобальную систему информационной безопасности интенсифицирует международное сотрудничество и улучшит экономический