ПУБЛИКУЙТЕ НОВОСТИ О ГЛАВНЫХ СОБЫТИЯХ
СВОЕЙ КОМПАНИИ НА EXPERT.RU

Самое интересное за месяц с комментариями шеф-редактора. То, что нельзя пропустить!

Защитные рефлексы

2009

Закон «О персональных данных», в соответствии с которым эти данные должны быть приведены до начала 2010 года, весьма противоречив. Южные компании, представляющие банковскую, страховую, телекоммуникационную отрасли, опасаются многочисленных проверок и намерены лавировать между глыбами неопределённости, которыми наполнен 152-ФЗ

Все информационные системы персональных данных (ПД), созданные со дня вступления закона в силу, должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года. Наступления этой даты кто-то ждёт как судного дня: закон воспринимается как минимум чрезмерно строгим, как максимум — очередным актом устрашения со стороны государства. И это при том, что регулирующее обработку личных данных законодательство было разработано в интересах тех, чьи данные обрабатывались без их ведома и в сомнительных целях. Ещё несколько лет назад можно было то и дело получать спам-рассылки с предложениями приобрести базы данных всех автомобилистов того или иного региона или обнаружить свою фамилию в «чёрном списке» банка, в который прежде обращаться не приходилось: служащий просто получил список от другого дружественного финансового учреждения. Такие эпизоды стали буднями, и в 2006 году был принят тот самый Федеральный закон от 26 июля № 152-ФЗ «О персональных данных». Будучи написанным из лучших побуждений, он до сих пор остаётся непонятым: хотя бы потому, что далеко не все операторы персональных данных осознают себя таковыми. А те, кто осознают, считают требования закона избыточными и признают, что дата, к которой все информационные системы должны быть приведены в соответствие с законодательством, наступила раньше, чем хотелось бы.

Этот день отодвигали, как могли

Появление 152-ФЗ связано с ратификацией Россией Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (этому посвящён ФЗ от 15 декабря 2005 года № 160). Наиболее активное недовольство с приближением 01.01.2010 г. стали высказывать банкиры, для которых дополнительные расходы неизбежны и в текущей ситуации обременительны. По мнению старшего инспектора по информационной безопасности сектора защиты информационных технологий «Ростпромстройбанка» Юрия Плужника, спешность принятия закона привела к тому, что он слабо соотносится с уже имеющимися мерами по обеспечению информационной безопасности, в целом плохо интегрирован в сложившуюся нормативную базу и не учитывает практику бизнес-процессов. «Защита таких данных в значительной мере (а в ряде случаев и полностью) уже достигается существующими мерами обеспечения информационной безопасности, применяемыми в банках, — отмечает г-н Плужник. — Но разработанная для 152-ФЗ нормативная база не учитывает специфику организаций банковской системы России».

Ассоциация российских банков в августе сделала заявление, в котором предложила перенести на 2 года сроки приведения информационных систем персональных данных в соответствие с требованиями закона, мотивируя это тем, что документы регуляторов по защите персональных данных требуют существенного изменения формы работы, связанной с переносом акцента на выполнение формальных мероприятий — регулярной сертификации, аттестации и лицензирования. «При этом банки будут вынуждены по-прежнему выполнять работы по обеспечению соответствия стандартам, принятым в мировом банковском сообществе, иными словами, проделывать двойную работу, как это уже имеет место при выполнении стандартов бухгалтерского учёта (РСБУ и МСФО)», — говорится в заявлении.

Надо отдать должное банкирам и другим тихо, но протестующим операторам — их опасения вызваны не осознанием собственной недобросовестности: компании финансовой инфраструктуры всегда традиционно много вкладывали в развитие своих систем безопасности. Заместитель директора службы безопасности страховой компании РОСНО Юрий Косолапов говорит, что участники страхового рынка ожидают увеличения числа проверок, и компания оказалась перед необходимостью принятия дополнительных организационных мер, которые, в свою очередь, требуют определённых затрат. «Для приведения наших систем к законодательным требованиям мы прибегли к помощи аутсорсера, — добавляет г-н Косолапов. — Дальнейшее поддержание информационных систем персональных данных планируется осуществлять силами своих специалистов». Артём Кроликов, начальник отдела информационной безопасности компании “АльфаСтрахование”, тоже делится тревожными ожиданиями, связанными с плановыми и внеплановыми проверками со стороны ведомств, коих закон насчитывает сразу три — Роскомнадзор, ФСТЭК и ФСБ. «Пока проверки Роскомнадзора выглядят как разминка перед стартом, — считает г-н Кроликов. — Они касаются в основном административных мер; технические меры, которые лежат в зоне ответственности ФСБ и ФСТЭК, сейчас не проверяются, но после 1 января можно ожидать проверок со стороны и этих регуляторов». 

Другой сектор, телекоммуникационный, обрабатывающий миллионы персональных анкет и имеющий доступ к личной переписке и истории запросов пользователей в сети, комментариев к закону не дал. Только представитель «Суммы Телеком», недавно выступившей с услугой ШПД на Юге, дипломатично не считает, что закон «как-то усложнит жизнь или финансово повлияет на деятельность операторов». «Закон адекватен современным реалиям и принципам, действующим в развитых странах, — убеждён Станислав Алескеров, директор по правовым вопросам “Суммы Телеком”. — Нужно отметить, что российский законодатель руководствовался в том числе и опытом регулирования в области защиты персональных данных, накопленным странами Европейского Союза: многие положения закона (включая терминологию) взяты из Директивы ЕС 95/46/ЕС от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных». Г-н Алескеров полагает, что основными препятствиями для эффективной защиты персональных данных являются технологические причины.

Основная тактика компаний состоит в том, чтобы подвести свою деятельность под исключения, предусмотренные законом

Большой секрет для маленьких

Огромное количество компаний не отдают себе отчёта в том, что они тоже подпадают под действие закона, а его незнание не избавляет от ряда обременительных ответственностей. На 30 ноября в доступном на сайте Роскомнадзора реестре операторов, осуществляющих обработку персональных данных, содержались сведения о 72 738 предприятиях и организациях, в то время как их, по данным представителей ведомства, в стране порядка 7 млн. «Для выполнения работ по защите персональных данных компаниям-операторам необходимо иметь лицензию на осуществление деятельности по технической защите информации, — объясняет невысокую активность регистрирующихся Артём Кроликов. — Такой лицензии у операторов, как правило, нет, а на её получение, помимо финансовых затрат, уходит много времени — от трёх до пяти месяцев. Но даже при наличии лицензии объём необходимых работ огромен, такими ресурсами операторы просто не располагают. Мы в компании, например, прибегаем к помощи сторонних интеграторов».

Представители интеграторов подтверждают рост спроса на услуги по работе с персональными данными. Сергей Петренко, эксперт компании «АйТи» в области защиты информации и непрерывности бизнеса, отмечает, что если в начале лета компания принимала по 2–3 запроса на услуги по внедрению комплексных систем защиты данных в неделю, то сейчас их число возросло до 10 в день. «Потенциал работы здесь громаден. Мы предполагаем, что 2010–2012 годы в сфере безопасности пройдут под флагом защиты персональных данных», — прогнозирует г-н Петренко. Южнороссийская компания-интегратор «Орбита» тоже испытывает повышенный спрос на подобные решения, однако Павел Лучников, руководитель направления информационной безопасности компании, замечает: «Количество операторов персональных данных исчисляется тысячами, а количество обращений по созданию систем защиты — десятками; это говорит о том, что подавляющее число операторов персональных данных не осознают важности этого вопроса».

Представители ведомств, которые получили полномочия по контролю за исполнением закона, тоже высказывают осторожное беспокойство тем, что на данный момент так мало операторов ПД признали себя таковыми. 27 ноября в Ростове-на-Дону состоялся первый южнороссийский IT-форум, целиком посвящённый обсуждению 152-ФЗ. На памяти автора это первое публичное обсуждение закона; по крайней мере, впервые в округе перед широкой аудиторией выступили представители ФСТЭК и Роскомнадзора. Выступая на форуме, Андрей Романов, начальник отдела по защите прав субъектов ПД и учёта операторов Роскомндазора по Ростовской области, сказал, что основная тактика компаний, которые осведомлены о законе, состоит в том, чтобы подвести свою деятельность по обработке ПД под исключения, предусмотренные законом. Представитель регулятора, однако, не советует делать этого, предупреждая: проверка может выявить, что отказ компании от регистрации самой себя как оператора может быть необоснованным.

Собственно, непредставление или несвоевременное направление в уполномоченный орган уведомления об обработке ПД и оказалось наиболее часто встречающимся нарушением, выявленным по результатам проверок регионального подразделения ведомства в 2009 году, которых в Ростовской области было проведено 264. Законом предусмотрен штраф в размере от 500 до 5 тысяч рублей, однако г-н Романов предупредил, что рассматривается вопрос об увеличении верхнего предела штрафа до 20 тысяч рублей, что для небольшой компании является вполне ощутимой суммой. Он дал ряд рекомендаций потенциальным операторам, чтобы тем не страшно было начинать защищать чужие данные. Ключевые советы состоят в том, чтобы, во-первых, оптимизировать обрабатываемую информацию, часть которой можно обезличить (использовать вместо ФИО индексы, к примеру), а во-вторых, во всех возможных случаях получать письменное согласие субъекта на обработку его ПД.

Андрей Романов постарался уверить аудиторию, что госорганы не намерены третировать региональные компании проверками, и в целом участники ростовского IT-форума были склонны этому поверить и успокоиться. Прозвучали, однако, и вопросы, которые остались без ответа. К примеру, для интернет-сайтов, размещающих резюме и вакансии (либо даже просто требующих фамилию, имя и электронный адрес пользователя при регистрации), нет никакого способа сделать свою работу законной без письменного согласия субъектов. То же касается и гостиничного, и туристического бизнеса: отель не имеет права спрашивать ФИО и контактные данные постояльца, позвонившего с просьбой забронировать номер без — опять же — письменного его согласия. Но бронировать номер на анонима отель при этом не хочет, что вполне можно понять.

В законе есть и такая аморфная норма, как «обеспечение адекватной защиты прав субъектов ПД» при трансграничной передаче данных, касающаяся всех туроператоров. Артур Эберг, управляющий партнёр юридической фирмы «Эберг, Степанов и партнёры», поясняет, что оператор в таком случае может найти не один вполне законный выход из положения. «Общая рекомендация в данной ситуации такова: можно направить запрос о том, существует ли на территории принимающей страны соответствующее законодательство о защите персональных данных и получении ответа на данный запрос, — рассказывает г-н Эберг. — Запрос, в частности, может направляться в заграничный отель либо заграничному оператору. Кроме того, пунктом 3 статьи 12 этого закона установлены исключения, в которых оговорено, что трансграничная передача персональных данных на территории государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться, в частности, во исполнение договора, одной из сторон которого является субъект персональных данных, либо при наличии согласия последнего в письменной форме».

Новая старая тайна

Неоднозначность закона ясна не только предпринимателям, но и чиновникам. В своём недавнем докладе даже директор департамента научно-технического и стратегического развития отрасли Минкомсвязи (ведомства, отвечающего за этот законопроект) Олег Чутов признал озабоченность российских компаний требованиями закона и назвал эти требования «сложными и избыточными с точки зрения соблюдения прав субъектов персональных данных». Но по большому счёту, деваться основным фигурантам рынка, подпадающим под действие закона и плановые проверки, некуда: прецедентов не то что отмены, но даже переноса сроков действия таких законодательных актов просто нет. Поэтому операторы вынужденно наращивают инвестиции в собственные IТ-инфраструктуры и в целом проявляют усталую готовность к 1 января. Артём Кроликов признаёт, что хотя документы регуляторов и не идеальны, подготовленным специалистам по защите информации они понятны. «Больше вопросов возникает по поводу легитимности нормативных документов ФСТЭК. Так, четвёрка документов, подготовленных ФСТЭК, имеет гриф ограниченного доступа и до сих пор не зарегистрирована в Минюсте», — говорит г-н Кроликов и добавляет, что особо прозорливые компании изобрели превентивную меру защиты от проверок в январе, инициируя проверку Роскомнадзора по собственной воле уже сейчас.

Означенные документы ФСТЭК действительно на момент подписания номера в печать находились под грифом «для служебного пользования», однако многие интеграторы и сами операторы признают, что при надобности они доступны по запросу. Но на пути построения идеальной системы безопасности есть и другой камень преткновения — ограниченный набор программных и аппаратных средств, сертифицированных для создания таких систем. «Да, состав сертифицированных средств защиты информации достаточно слаб для рынка такого объёма, — комментирует Павел Лучников. — Но сейчас, вероятно, будут производиться (и уже производятся) массовые работы по сертификации, в том числе и западных продуктов. Если есть спрос, будут предложения».

Пожалуй, наибольшую досаду у исполнителей закона вызывают не скомканные формулировки и закрытость информации, а несогласованность законодательного акта ни с реалиями рынка, ни с запросами потребителей, ни с прочими законами. По мнению Артёма Кроликова, причина состоит в том, что авторы просто не обратились к специалистам, обладающим актуальными знаниями о вопросе. «Долгое время в стране не было другой тайны, кроме государственной. Она прекрасно защищалась, и денег на это государство не жалело, — рассуждает г-н Кроликов. — Теперь эти же специалисты, которые всю жизнь защищали гостайну, разработали нормативные документы по защите персональных данных. Стоимость системы, которую необходимо построить операторам персональных данных для защиты сведений, например, о здоровье, в десятки, а то и сотни раз превышает возможную коммерческую стоимость такой информации на рынке. Всё это вызывает недоумение специалистов по защите информации и бизнеса, адресованное правительству».  

За нарушение 152-ФЗ предусмотрена и гражданская, и уголовная, и административная, и дисциплинарная ответственность. Штрафы за несоблюдение Закона «О персональных данных»

Что такое персональные данные

Законом регулируются отношения, связанные с обработкой персональных данных (ПД), с использованием средств автоматизации или без них. К ПД относятся ФИО, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы. Оператор персональных данных определяется как государственный орган, муниципальный орган, юридическое или (и) физическое лицо, осуществляющее обработку ПД и определяющее цели и содержание обработки ПД. 

«Эксперт Юг» №46-47 (85)
«Эксперт» в Telegram
Поставить «Нравится» журналу «Эксперт»
Рекомендуют 94 тыс. человек



    Реклама



    «Экспоцентр»: место, где бизнес развивается


    В клинике 3Z стали оперировать возрастную дальнозоркость

    Офтальмохирурги клиники 3Z («Три-З») впервые в стране начали проводить операции пациентам с возрастной дальнозоркостью

    Инновации и цифровые решения в здравоохранении. Новая реальность

    О перспективах российского рынка, инновациях и цифровизации медицины рассказывает глава GE Healthcare в России/СНГ Нина Канделаки.

    ИТС: сферы приложения и условия эффективности

    Камеры, метеостанции, весогабаритный контроль – в Белгородской области уже несколько лет ведутся работы по развитию интеллектуальных транспортных систем.

    Курс на цифровые технологии: 75 лет ЮУрГУ

    15 декабря Южно-Уральский государственный университет отметит юбилей. Позади богатая достижениями история, впереди – цифровые трансформации

    Когда безопасность важнее цены

    Экономия на закупках кабельно-проводниковой продукции и «русский авось» может сделать промобъекты опасными. Проблему необходимо решать уже сейчас, пока модернизация по «списку Белоусова» не набрала обороты.

    Новый взгляд на инвестиции в ИТ: как сэкономить на обслуживании SAP HANA

    Экономика заставляет пристальнее взглянуть на инвестиции в ИТ и причесать раздутые расходы. Начнем с SAP HANA? Рассказываем о возможностях сэкономить.

    Армения для малых и средних экспортеров

    С 22 по 24 октября Ассоциация малых и средних экспортеров организует масштабную бизнес-миссию экспортеров из 7 российских регионов в Армению. В программе – прямые В2В переговоры и участие в «Евразийской неделе».


    Реклама