12.10.2009

Не лучшее время

Олег Седов, osp.ru

Олег Седов, osp.ru


Согласно Федеральному закону РФ N 152-ФЗ «О персональных данных», информационные системы должны быть приведены в соответствие с изложенными в законе требованиями не позднее 1 января 2010 года. Времени остается совсем немного, а нерешенных вопросов по-прежнему более чем достаточно.


Федеральный закон «О персональных данных», принятый Государственной Думой и одобренный Советом Федерации РФ в июле 2006 года, вступил в силу через 100 дней после публикации. На то, чтобы подготовить информационные ресурсы для аттестации на соответствие требованиям регуляторов, у предприятий и организаций России было более трех лет.

Государством первые регламентирующие документы были выпущены только в феврале 2008 года. Несколько месяцев (примерно до середины 2008 года) ушло на их изучение, после чего наиболее ответственные структуры начали анализировать ситуацию и планировать свои действия. Достичь ясного их понимания удалось еще примерно через полгода (то есть к началу 2009 года), что объясняется сложностью нормативных документов. Как выяснилось, заявленные требования реализовать на практике довольно сложно, в частности для этого потребуются серьезные усилия и финансовые затраты. В условиях уже спланированного финансового года реализация всех проектов становилась возможной только в 2010 году, что выходит за рамки сроков, отведенных законом.

Регуляторы в лице ФСТЭК и ФСБ выпустили свод руководящих документов, определяющих порядок подготовки информационных систем операторов персональных данных к процедурам аттестации на соответствие требованиям законодательства. Носили ли эти инициативы внятный и продуманный характер? Опять же, смотря из чего исходить. Если ставить во главу угла имидж российского государства перед лицом европейского сообщества, то действия эти можно считать вполне последовательными и оправданными. Если же говорить о защите прав и свобод граждан в контексте персональных данных, то здесь больше вопросов, чем ответов. «В отношении средств защиты, необходимых для обеспечения соответствия требованиям нормативной базы, также много неясного, — считает Евгений Модин, руководитель направления консалтинга компании Aladdin. — Очевидно, что основной оператор персональных данных — это само государство. Однако целенаправленного финансирования государственных учреждений, оперирующих персональными данными граждан, предусмотрено не было, поэтому какими средствами смогли обеспечить требования регуляторов, такими и обеспечили».

Эту точку зрения разделяет руководитель центра компетенции компании Trend Micro в России Михаил Кондрашин: «К сожалению, в самом законе нет фактических требований к информационным системам. Требования изложены в соответствующих приказах, которые вышли значительно позже, чем хотелось бы. Из-за этого времени для приведения своих информационных систем в соответствие с требованиями закона у компаний оказалось очень мало. В результате не все смогли перестроить свои системы, совместив работы, выполняемые в соответствии с законом, с «оптимизацией» ИТ. В основном приводятся в соответствие те системы, которые были развернуты задолго до появления закона о персональных данных. Обычно все сводится к закупке сертифицированных средств защиты».

«У компаний было достаточно времени, чтобы подготовиться и заранее провести необходимый комплекс мероприятий по защите персональных данных. Однако, к сожалению, в России «пока гром не грянет, мужик не перекрестится», — считает генеральный директор компании «ДиалогНаука» Виктор Сердюк. — Благодаря закону многие коммерческие и государственные компании изменили свои взгляды на необходимость защиты персональных данных в лучшую сторону. Например, если раньше финансирование информационной безопасности осуществлялось по остаточному принципу, то теперь эта задача для многих предприятий становится одной из первостепенных. В данном случае требования закона способствовали тому, чтобы руководители многих организаций обратили внимание на проблемы в области защиты информации, которые долгое время оставались второстепенными и нерешенными».


С новым годом...

Чтобы привести свои информационные системы в соответствие с требованиями закона о персональных данных, в самом общем случае организация должна будет выполнить следующие действия:

  • уведомить Роскомнадзор о внесении в реестр операторов (согласно ст. 22 ФЗ-152);
  • провести классификацию своих информационных систем (согласно приказу ФСТЭК, ФСБ и Мининформсвязи № 55/86/20);
  • разработать модель угроз безопасности и модель нарушителя (в случае применения криптографических средств защиты информации) на основе методических документов ФСТЭК и ФСБ;
  • разработать необходимый комплект организационно-распорядительных документов;
  • внедрить необходимый комплекс программно-технических средств защиты персональных данных;
  • провести аттестацию информационных систем, обрабатывающих персональные данные (в случае необходимости);
  • получить в случае необходимости лицензию ФСТЭК на техническую защиту конфиденциальной информации и ФСБ на обслуживание шифровальных средств (в случае необходимости).

При этом возникает риск существенного обременения организаций этими проблемами, которые могут отразиться на профильной деятельности . «Иногда, чтобы обозначить соответствие своих разработок российскому законодательству, производители используют некоторые ухищрения, выдавая желаемое за действительное. Кто-то уже начал в спешном порядке сертифицировать свои решения ради получения соответствующей бумаги. Кто-то, напротив, пытается разобраться в тонкостях сертификации, чтобы взвешенно подойти к этому вопросу. Однако решить все и в срок уже не получится ни у тех, ни у других: времени до 1 января осталось совсем мало. В качестве примера отмечу, что сертификация всей линейки продуктов нашей компании для аутентификации и хранения ключевой информации по линии ФСТЭК у нас заняла девять месяцев», — рассказывает Модин.

По мнению ИТ-директора компании «Смарт Лайн Инк» Сергея Вахонина, к указанному сроку организации просто должны быть готовы к потенциальным претензиям как контролирующих органов, так и юридически грамотных граждан — субъектов персональных данных. «Комплексных решений, которые способны целиком и полностью обеспечить требования закона о персональных данных, нет. Но вполне реально построить комплексную систему защиты данных — как персональных, так и корпоративных. В конечном итоге создание такой системы повлияетна устойчивость бизнеса, — считает Вахонин. — Простейший вариант системы комплексной защиты может состоять всего из нескольких компонентов. Среди них — криптозащита ключевых данных, надежная антивирусная защита периметра и рабочих станций, грамотно настроенный межсетевой экран, ПО для контроля доступа к портам и внешним устройствам на рабочих станциях. Ну и, конечно же, необходимо подготовить документацию на внедренную систему защиты».

По оценкам Алексея Липатова, технического руководителя направления отдела информационной безопасности компании «Открытые Технологии», стоимость оснащения техническими средствами защиты информации одного рабочего места может составлять 4—7 тыс. руб. Затраты на обследование и проектирование для средней компании могут вылиться в сумму от 300 тыс. до 2 млн руб. Более точную оценку стоимости затрат на защиту и аттестацию одного рабочего места можно будет определить только после проведения более детального обследования.

Затраты на защиту персональных данных в разных организациях и отраслях могут существенно различаться. «В банковской сфере уровень автоматизации и защиты данных всегда был одним из самых высоких, а, например, для медицинских учреждений, часть из которых является государственными, этот показатель во много раз ниже. Организации, по разным причинам не придававшие особого значения информационной безопасности, не станут более сознательными благодаря выходу нового закона», — считает Модин.

«Разумеется, мы поддерживаем необходимость защиты персональных данных граждан, но, на наш взгляд, некоторые требования федерального закона №152 нельзя рассматривать, как стопроцентно логичные и верные. Скажем, попытка регламентировать технические средства защиты может привести к неэффективности самого закона. Если злоумышленникам будет известно, что именно используется для защиты, а также то, что эти средства у всех одинаковые, то и проникать в системы станет проще», — убежден Михаил Калиниченко, генеральный директор компании S.N. Safe&Software.

По его мнению, существует опасность, что конкуренция производителей окажется не технологической, а сертификационной, когда наличие сертификата будет важнее качества продукта. При этом получится парадокс: ответственность за данные несет предприятие, технологии разрабатывает производитель, а решать, что можно использовать, будет центр сертификации, который ни за что не отвечает и сам ничего не разрабатывает. Кроме того, непонятно, как сертифицировать технологические новинки. Наверняка, возникнут задержки, в результате новые средства защиты будут использованы с опозданием. При этом надо учесть, что любая техническая сертификация связана с очень большими расходами, особенно когда отсутствуют четкие критерии соответствия.


Не лучшее время для затрат

По прогнозам специалистов ЦБ РФ, подготовка системы к аттестации на соответствие требованиям закона о персональных данных и ее проведение, включая предпроектные работы, проектные исследования, подготовку документов, собственно аттестацию и пр., увеличат расходы российских банков на информационную безопасность в три-пять раз. Это значит, что банкам придется эти средства изъять из прибыли и ограничить инвестиции в развитие основной деятельности. В условиях экономического кризиса увеличение расходов на информационную безопасность не лучшим образом скажется на оздоровлении экономики в целом. Поэтому в ЦБ считают, что в сложившейся ситуации необходимо перенести сроки реализации требований закона и откорректировать статью 25.3 ФЗ 152.

«В подавляющем большинстве организаций до сих пор не начаты проекты по приведению информационных систем в соответствие с положениями закона о персональных данных. Действия компаний, направленные на принятие мер по модернизации автоматизированных систем, хранящих и обрабатывающих персональные данные, были замедлены в связи с тем, что лишь совсем недавно появился полный набор нормативных актов регуляторов. В условиях финансового кризиса организациям очень непросто решиться на серьезные траты и реорганизацию ряда бизнес-процессов, сохраняя годами отлаженную линию работы», — убежден заместитель генерального директора по развитию бизнеса компании «МВП «Свемел» Вячеслав Федулов.

«На мой взгляд, мысль о несвоевременности в вопросах персональной безопасности в связи с экономическим кризисом, как минимум, надуманна. Вспомните, как часто у вас просят ваши паспортные и контактные данные в торговых точках, кредитных учреждениях и как часто потом вы получаете ненужные вам письма и звонки из посторонних организаций? Оцените риск того, что переданные вами паспортные данные будут использованы в противозаконных целях, например, для получения кредитов? Факт налицо: персональными данными в России торгуют, причем беззастенчиво. Полагаю, что закон следовало бы ввести в действие уже давно, необходимость защиты граждан давно назрела. Сетования на кризисное время — это «от лукавого», безопасность должна быть превыше всего», — считает Вахонин.

Кондрашин более сдержанно оценивает сроки вступления закона в полную силу: «На мой взгляд, несмотря на отдельные недостатки закона о персональных данных и приказов, которые за ним последовали, движение происходит в правильном направлении, а значит, останавливать его нельзя. Разумеется, разумным в сегодняшних условиях было бы проявление доброй воли исполнительной власти и предоставление отсрочки перед началом тотального «закручивания гаек»».

В отличие от тех, кто должен будет в первую очередь соблюдать требования закона, вендоры, консультанты и интеграторы настаивают, что отсрочка приведения информационных систем в соответствие с требованиями закона принципиально не изменит ситуацию. Они убеждены, что у компаний было достаточно времени, чтобы подготовиться и заранее провести необходимый комплекс мероприятий по защите персональных данных. Если же государство даст отсрочку, есть опасность, что все опять «уснут».

Как бы там ни было, начавшийся процесс уже не остановить. Сейчас общество подготовлено к решению проблемы, она обсуждается на всех уровнях, и, если удастся принять взвешенное решение и перенести сроки реализации на два года, думается, это пойдет всем только на пользу.