Персональные данные: надо ли их защищать и можно ли это сделать?
CIO №9, 2010
Алексей Сабанов, к.т.н., заместитель генерального директора «Аладдин Р.Д.»
CIO №9, 2010
Влияние Закона «О персональных данных» на рынок информационной безопасности (ИБ) трудно переоценить. В отличие от предыдущих законов, он сильно «всколыхнул» рынок и затронул не только регуляторов, разработчиков, интеграторов и операторов персональных данных, но и всех нас - граждан, сведения о которых передаются, обрабатываются и хранятся в государственных информационных системах. По уровню воздействия на умы специалистов ИБ, развития нормативной базы и самих средств защиты информации этот закон намного обошел даже «чемпиона» по цитируемости до августа 2006 года - небезызвестный № 1-ФЗ «Об электронной цифровой подписи».
Самое удивительное, что именно сейчас, по прошествии четырех лет с момента принятия № 152-ФЗ и двухлетнего «затишья», в автомобильных пробках снова стали продавать CD с нашими персональными данными. Другими словами, сегодня требования закона выполняются не в полной мере. С чем это связано? Однозначного ответа не даст никто. Сказывается и долголетний хорошо налаженный бизнес по торговле украденными из различных баз ПДн, и отсутствие у операторов бюджетов на защиту данных, и нехватка специалистов по защите информации, и другие факторы. Однако факты - упрямая вещь. На конец августа 2010-го, то есть за четыре месяца до начала действия «карательных» статей № 152-ФЗ, в Роскомнадзоре зарегистрировалось чуть более 125 тысяч операторов ПДн - примерно 2,5% операторов России. Динамика процесса такова, что вряд ли в реестре операторов, обрабатывающих ПДн, к 1 января 2011 года окажется более 10% таких организаций. Это ли не повод подумать о том, что все же что-то не так?
Конечно, наше общество, государство и граждане до сих пор не готовы к выполнению основных требований № 152-ФЗ. Основная масса гражданского населения даже не читала текст закона и не знает своих прав и обязанностей. На наш взгляд, это связано с тем, что теме защиты персональных данных не уделяется должного внимания ни в СМИ, ни на телевидении, ни в Интернете. В то же время большинство операторов ПДн хорошо знакомо с основными положениями закона, однако конкретных шагов по реальной защите данных не делается. Не делается по разным причинам: кто-то надеется, что к нему не придут проверяющие, кто-то рассчитывает «откупиться», кто-то повторяет известную истину о несовершенстве ныне действующего № 152-ФЗ. Среди специалистов по ИБ уже четыре года идут дискуссии о соотношении реальной и "бумажной" безопасности. Этот спор и сама постановка задачи характерны для нашей страны и текущего состояния нормативной базы. Однако само появление такого закона и его постоянное совершенствование имеют огромное значение. Мы уверены, что исполнение его требований способно сыграть существенную роль в защите в первую очередь государственных информационных ресурсов нашей Родины.