06.04.2010
Персональные данные: защита превращается в угрозу
Вступление в силу 30 декабря, за два дня до истечения установленного ранее срока, поправок к закону о переносе сроков приведения автоматизированных систем персональных данных в соответствие с требованиями воспринято большинством руководителей и специалистов однозначно: "Закон перенесен на один год". Именно такую формулировку приходится слышать в последнее время на различного рода встречах, конференциях, видеть в публикациях СМИ.
На самом деле закон как вступил в силу 26 января 2007 г., так и действует до сих пор. Изменился лишь срок приведения в соответствие с требованиями закона автоматизированных информационных систем, обрабатывающих персональные данные граждан. Все остальные фундаментальные положения закона – о необходимости иметь согласие субъекта на обработку персональных данных и защищать их от несанкционированных действий третьих лиц, о недопустимости их передачи кому-либо без ведома субъекта, о правах субъекта и обязанностях оператора и другие, – действуют в неизменном виде уже три года и практически никак не связаны с мерами защиты информации в компьютерных системах.
Добавленный операторам на реализацию мер безопасности год, по логике законодателей, должен быть использован не только для построения систем защиты вычислительных сетей, но и для совершенствования законодательства. Причем совершенствование это должно идти по трем основным направлениям: исправление ошибок, неточностей и противоречий в самом законе "О персональных данных" (далее – ФЗ-152); упорядочивание российского законодательства о защите приватности в целом и приведение его в соответствие с ратифицированной Европейской конвенцией "О защите прав физических лиц при автоматизированной обработке персональных данных" и ФЗ-152; уточнение и исправление подзаконных актов-регуляторов в области безопасности и защиты информации, вызывавших с момента своего появления справедливую критику специалистов.
Последствия отсрочки
Пока очевидны два последствия переноса сроков реализации защитных мер в информационных сетях.
Первое. Практически все операторы персональных данных за небольшим исключением прекратили работы по построению подсистем информационной безопасности. Их можно понять – в условиях неопределенности и возможных изменений вкладывать значительные средства не в реальную безопасность, а в реализацию формальных требований безотносительно к их важности и необходимости для конкретной системы было бы пустым расточительством. Что изменения будут – сомнений уже нет. Появился и пропал на официальном сайте ФСТЭК приказ по технической защите персональных данных, который должен пройти регистрацию в Министерстве юстиции. Его содержание весьма существенно отличается от положений "четырехкнижия" ФСТЭК, действующего на сегодняшний день.
Второе. В Государственную думу внесен законопроект с поправками в ФЗ-152, который, во всяком случае, в том виде, как он опубликован на сайте Думы, фактически является не перечнем поправок, а новой редакцией закона. Причем редакцией, радикально меняющей целый ряд основополагающих принципов закона. Остановимся лишь на одном изменении, касающемся вопросов технической защиты. Излишне жесткую, по мнению многих специалистов, формулировку части второй статьи 19 действующей редакции ФЗ-152 ("Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных …") должны заменить следующие две нормы закона. "В случаях, установленных федеральными законами, определяющими случаи обязательной обработки персональных данных и (или) особенности обработки персональных данных, Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных …" и "При обработке персональных данных на основе согласия перечень мер по обеспечению безопасности персональных данных при их обработке определяется соглашением оператора и субъекта персональных данных".
Приведет это, скорее всего, к следующему. Практически все существующие информационные системы персональных данных функционируют вне регулирования их федеральными законами, и значит обязательных требований для них не будет. Это системы и государственных и муниципальных предприятий, обслуживающих население, и организаций здравоохранения и образования, и многих других. Несмотря на созданные некоторыми профильными министерствами методические документы, которые можно увидеть, например, на сайтах Министерств здравоохранения и образования, никакой реальной работы по защите персональных данных в этих организациях не велось по двум тривиальным причинам: нет целевого бюджетного финансирования работ (а других денег у них нет) и нет специалистов (добавлю – и вряд ли они появятся), способных разобраться в требованиях и реализовать их.
Продажа баз данных на рынках или в интернете должна рассматриваться как преступление
Что же касается коммерческих организаций-операторов персональных данных, их реакция будет очевидной: в договорах на предоставление услуг гражданам (где и содержится согласие на обработку) появится простая формулировка "Клиент (абонент, пользователь и т.п.) согласен с достаточностью мер по защите его персональных данных, предпринимаемых исполнителем". Каких мер, клиент, естественно, никогда не узнает, да и нельзя их внятно описать в договоре на предоставление услуг связи, билете на поезд или самолет (который, по гражданскому кодексу, и является подтверждением договора перевозки) или квитанции на отправку заказного письма (это тоже подтверждение договора). Клиенту, которого такое положение вещей не устраивает, некуда пойти, ведь в договоре у другого исполнителя будет то же самое.
Весь пафос ФЗ-152 в части защиты прав личности таким образом выйдет в пар. В результате внесения рассматриваемых изменений из одной крайности – дорогостоящей реализации требований, не продиктованных бизнес-задачами, все впадут в другую, и для защиты персональных данных, как и прежде, делаться ничего не будет. Гостиничный и туристический бизнес, переждавший битвы вокруг закона, - яркий тому пример.
Необходимые меры
Если государство действительно хочет защитить право на неприкосновенность частной жизни и личную тайну, развитие законодательства и подзаконных актов в оставшееся время должно пойти совсем другим путем. Кстати, сходная логика реализована в большинстве стран, прошедших путь построения системы охраны приватности.
Должна быть радикально усилена ответственность за утечку персональных данных и их распространение. Оператору необходимо сформулировать простой свод правил. Во-первых, персональные данные граждан, которые он использует, необходимо защищать. Во-вторых, в случае утечки об этом надо сообщить субъектам, и если утечка наносит им ущерб (в том числе моральный), компенсировать его (если оператор и субъект по этому вопросу договориться не могут, вопрос решает суд). В-третьих, уполномоченный орган (органы) разбираются в причинах утечки, нанесшей вред субъектам, и в случае, если оператор не принимал разумных и достаточных мер по охране, привлекают его к ответственности, вплоть до уголовной.
Естественно, продажа баз данных на рынках или в интернете в любом случае должна рассматриваться как преступление.
Разумность и достаточность определяется на основе сопоставления охранных мер, декларируемых оператором, и реально реализованных им.
При этом большинству операторов невозможно будет содержать соответствующих специалистов, и сами они определить разумные и достаточные меры, конечно, не смогут. Поэтому уполномоченные государством органы формулируют методические рекомендации, используемые как основа при построении системы защиты. Не требования, а именно рекомендации, причем не технологические, как сейчас, а функциональные.
Кроме государственных регуляторов функцию по подготовке рекомендаций могут выполнять другие ведомства, а также профессиональные объединения (сообщества), глубоко понимающие специфику деятельности в конкретном сегменте управления и экономики. В этом случае рекомендации согласуются с органами исполнительной власти, уполномоченными в области безопасности и технической защиты, которые следят за соблюдением государственных интересов при реализации защитных мер.
Примером такого решения является успешное движение "Центробанка" и Ассоциации российских банков по пути создания отраслевого стандарта безопасности, учитывающего особенности работы кредитно-финансовых учреждений и призванного регулировать все направления охраны конфиденциальности – банковской, коммерческой тайны, персональных данных граждан и служебной тайны органов государственной власти
Постоянный адрес статьи
http://www.cnews.ru/reviews/index.shtml?2010/04/02/385253