Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите бесплатную демоверсию и консультацию

+7(495) 221-24-31

Закон «О персональных данных»: причины провала

26 января 2007 года вступил в силу ФЗ «О персональных данных». Однако приватные базы данных как лежали на прилавках, так и продолжают там оставаться. Изменил ли новый закон практику нелегального оборота персональных данных? Нет. Сможет ли он остановить очередные утечки? Вряд ли. По мнению экспертов, закон бессилен, поскольку его требования недостаточно конкретны.

В первую очередь отметим, что при беглом знакомстве требования ФЗ «О персональных данных» выглядят достаточно правильными и в некоторой степени даже убедительными. Так, в сферу действия этого нормативного акта попадают все юридические и физические лица, на попечении которых находятся приватные сведения других граждан. Новый закон требует, чтобы каждая организация, владеющая персональными данными своих сотрудников, клиентов, партнеров и т.д., обеспечила конфиденциальность всей этой информации. В случае нарушения положений закона компания может лишиться лицензии и подвергнуться судебному преследованию со стороны граждан, чьи приватные записи были скомпрометированы. Кроме того, виновные лица, нарушившие требования закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

Чтобы посмотреть, насколько эффективным считают специалисты по ИТ-безопасности применение нового закона на практике, обратимся к результатам исследования компании InfoWatch «Защита персональных данных по закону». В ходе этого проекта было опрошено 300 профессионалов в сфере защиты информации, каждый из которых получил возможность ознакомиться с требованиями ФЗ перед анкетированием. Как оказалось, по началу респонденты с большим энтузиазмом восприняли принятие нового закона. Так, практически все опрошенные специалисты (94%) убеждены, что России был просто необходим закон «О персональных данных». Против этой точки зрения выступили лишь 6%, из которых ровно половина (3%) сомневается в своем ответе.

Нужен ли России закон «О персональных данных» сегодня?

Возможно, респондентам просто надоело находить свои персональные и особо чувствительные, например, финансовые сведения в общедоступных базах данных. Другими словами, проблема утечек и нелегальный оборот приватной информации стали больной мозолью общества. Именно поэтому принятие закона было встречено с радостью.

Требования к ИТ-безопасности

Руководителям организаций, специалистам в области ИТ и защиты информации следует ознакомиться с основными положениями нового ФЗ в сфере защиты персональных данных. Согласно ч.2 ст.5, «хранение [приватных сведений] должно осуществляться ... не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, это является нарушением закона. Срок, в течение которого ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.

Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: «В случае если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности ... и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона. Согласно этой статье, «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.

Однако особое внимание представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Как указывает Олег Смолий, главный специалист управления по обеспечению безопасности «Внешторгбанка», отсюда следует, что представителям бизнеса необходимо обеспечить мониторинг всех операций, которые внутренние нарушители осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.

Между тем, согласно ст.19 ч.2 ФЗ «О персональных данных», Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Другими словами, принятие закона (даже с прописанными в нем требованиями к безопасности приватных сведений) является лишь первым шагом на долгом пути к цивилизованному обращению персональных данных. Следующей ступенью должно было стать назначение или создание уполномоченного органа и четкая формализация требований к защите личной информации. Отметим, что сам уполномоченный орган уже выбран. Это Федеральная служба по техническому и экспортному контролю. Однако каких-либо формализованных требований от ФСТЭК России в плане защиты персональных данных еще не было обнародовано.

Также отметим, что согласно ст.24, виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ. Т.е. утечка приватных сведений граждан может легко спровоцировать целую череду исков и судебных разбирательств, что приведет к серьезным юридическим издержкам, огласке и ухудшению репутации.

Закон на практике

Несмотря на то, что проблема защиты персональных данных наболела уже давно, принятие нового закона само по себе эту задачу не решает. Федеральный нормативный акт предъявляет лишь формальные требования к безопасности приватной информации, а за соблюдением этих положений должны следить специальные уполномоченные органы. Однако разрыв между тем, что написано в законе, и тем, что реально выполняется на практике, в России уже давно стал притчей во языцех. В связи с этим респондентам было предложено указать, насколько они верят в реальную эффективность ФЗ «О персональных данных».

Как оказалось, 6 респондентов из 10 в целом возлагают на закон положительные надежды. Структура этих 60% такова: 54% респондентов полагают, что норматив будет работать, но не на полную силу, а 6% абсолютно уверены, что закон окажется довольно эффективным (приведет к сокращению числа утечек, а за сами утечки начнут привлекать к суду).

Будут ли требования ФЗ работать на практике?

Между тем, нельзя сбрасывать со счетов 40% специалистов, которые не верят в новый закон «О персональных данных». Из них 7% полностью убеждено, что ситуация вообще не изменится. Т.е. утечки продолжатся, как и раньше. А 33% выразили сомнения в том, что норматив будет работать на практике.

Опасения 40% респондентов вполне обоснованны. Со стратегической точки зрения, закону необходимо преодолеть медлительность и неэффективность российской судебной системы. Так, необходимы первые юридические прецеденты, которые бы привлекали к ответственности внутренних нарушителей и организаций, допускающих утечки персональных данных. Того же мнения придерживается Андрей Никишин, директор направления аутсорсинга ИТ-безопасности «Лаборатории Касперского»: для того, чтобы шестеренки закрутились, необходима правоприменительная база. Только в этом случае угроза привлечения к ответственности за утечку информации будет эффективно сдерживать внутренних нарушителей и организации.

Реализация требований закона

Выше уже были перечислены требования ФЗ «О персональных данных» в области защиты информации. Между тем, реализация всех этих требований в ИТ-инфраструктуре организации, наверняка, потребует определенных усилий от специалистов компании, а также бюджетных ассигнований на покупку и внедрение новых средств защиты. В связи с этим возникает вполне резонный вопрос: «Какие препятствия на пути реализации требований нового нормативного акта являются наиболее существенными?».

Препятствия на пути реализации требований ФЗ

Легко видеть, что наибольшие сложности у российских специалистов вызывают сами требования закона, а точнее – их расплывчатость. Эта причина возглавила список наиболее сложных для преодоления препятствий и набрала 49% голосов.

По всей видимости, респонденты прекрасно понимают, что конечные требования к защите персональных данных будут сформулированы позже ФСТЭК России. Другими словами, сейчас компании могут реализовать лишь самые общие положения закона: внедрить систему защиты от утечек и внутренних нарушителей, криптографические средства и разделение доступа.

По мнению Владимира Скибы, начальника отдела информационной безопасности ФТС России, ФСТЭК России следует как можно быстрее разработать требования к защите персональных данных. Наиболее оптимальным вариантом стало бы оформление этих требований в виде официального стандарта по безопасности приватной информации. Это снимет многие противоречия и послужит той «дорожной картой», которая сегодня так необходима специалистам по ИТ-безопасности.

Следующим вопросом стало выявление того, насколько сильно необходимо модернизировать ИТ-инфраструктуру организации, чтобы удовлетворить требованиям ФЗ «О персональных данных». Опрос специалистов показал, что большая часть респондентов (47%) считает этот проект достаточно сложным, но выполнимым. При этом информационную систему придется модернизировать довольно сильно. В то же самое время почти треть (32%) опрошенных профессионалов заявила, что такой проект вряд ли можно считать сложным: сильно менять ИТ-инфраструктуру не надо, хотя чуточку повозиться все-таки придется. Еще 7% респондентов высказались за то, что это очень легкий проект, а 14% – за очень сложный. Между тем, усредняя ответы можно сделать вывод, что подавляющее большинство респондентов считает требования ФЗ к защите персональных данных вполне подъемными.

Насколько сильно придется изменять свою ИТ-систему в соответствии с ФЗ

При должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с ФЗ не должна представлять для российских организаций больших трудностей. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако уже сейчас можно утверждать, что эти средства безопасности необходимо внедрить и без участия надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации в компании является залогом ее успешной деятельности.

На заключительном этапе исследования респондентам было предложено рассказать о своих планах по внедрению технологических решений для защиты персональных данных. Оказалось, что 71% организаций уже запланировал покупку и внедрение такого рода продуктов. При этом лишь 16% компаний имеют все необходимые решения уже сейчас, а 13% не отягощают себя заботами, так как не верят в то, что ФЗ будет работать на практике. Тем не менее, если государство и дальше будет закручивать гайки, то эти 13% автоматически превратятся в провинившиеся компании, которые лихорадочно ищут и внедряют средства защиты.

Планы по внедрению новых ИТ-продуктов для соответствия ФЗ

Подводя итоги, можно заметить, что подавляющее большинство специалистов (94%) убеждено, что России был просто необходим закон «О персональных данных». В то же самое время 40% опрошенных профессионалов не верят, что закон будет работать на практике. В чем проблема? Оказывается, в недостаточной конкретности требований закона (49%) и нехватки денег на внедрение адекватных систем защиты (20%). Таким образом, уполномоченному органу (ФСТЭК России) необходимо как можно быстрее разработать формальные требования к безопасности персональных данных и опубликовать официальный стандарт, который закрепит положения ФЗ «О персональных данных». Текущие требования это закона большинством голосом (79%) признаны вполне подъемными к реализации. Более того, 71% организаций уже запланировал внедрение новых ИТ-продуктов, позволяющих достичь соответствия с положениями закона.

Однако это лишь одна сторона медали – с ее помощью государство пытается вести профилактику утечек на уровне тех источников, откуда информация утекает. Между тем, есть еще один важный аспект: нелегальный оборот персональных данных. Ведь не надо даже далеко ходить, чтобы купить приватную базу данных на CD и за довольно скромную цену. Очевидно, что в этом плане ответственность ложится на органы исполнительной власти, у которых теперь появилась законная возможность завести против нелегальных продавцов дело. Правда, именно на этом этапе нам так необходима правоприменительная практика, нарабатывать которую России, судя по всему, придется годами.

Алексей Доля
Источник: http://pda.cnews.ru/reviews/index.shtml?2007/02/21/237040_3
21.02.07, Ср, 13:21, Мск

Возврат к списку

Ольга Савко

Начальник группы телемаркетинга

Закажите демонстрацию системы
Мы свяжемся с вами, проконсультируем по интересующим вопросам, подготовим персональную демонстрацию в удобное для вас время.

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Календарь мероприятий

26апреля

«Весенний документооборот-2021»: развитие экосистемы ЭОС

Узнать больше

11февраля

Об электронной подписи простым языком: компания ЭОС проведет вебинар для школ

Узнать больше

28января

Новые возможности наглядной визуализации в СЭД «ДЕЛО»

Узнать больше

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ

^