Через год, с 1 января 2010 г., в полную силу заработает важный для российского рынка закон «О персональных данных». К этой дате не только вновь создаваемые базы персональных данных, но и существовавшие до принятия закона в июле 2006 г. должны быть приведены в соответствие с изложенными в нем требованиями.
ИТ-директора российских компаний загодя готовятся к появлению новых регламентов. Еще год назад, правда, в частных беседах, они говорили: еще рано, совершенно неясно, за что именно будут наказывать, поэтому нет и смысла что-то предпринимать. 6 февраля 2009 г. состоялся семинар «Требования и правоприменительная практика выполнения законодательства о персональных данных». Он был подготовлен и проведен Межрегиональной общественной организацией «Союз ИТ-директоров России» (МОО СоДИТ) совместно с Межрегиональной общественной организацией «Ассоциация защиты информации» (МОО АЗИ) при поддержке аппарата Совета безопасности РФ и Института современного развития (ИНСОР).
Семинар получился вполне представительный: в нем приняли участие сотрудники аппаратов Государственной Думы, Совета безопасности РФ, Федеральной службы по надзору в сфере связи и массовых коммуникаций, ФСБ России, ФТС России и ФСТЭК России и десятки самих ИТ-директоров. Впервые с семинара велась прямая трансляция на сайтах СоДИТ и ИНСОР.
ИТ-руководителей в первую очередь интересовал все тот же вопрос: за что будут наказывать. Заинтересованность участников семинара ощущалась не только в кулуарах, но и непосредственно во время обсуждения. Увы, ясного ответа не последовало, вернее, ответов прозвучало так много, что некоторые слушатели сделали вывод: так как четких границ нет и наказать могут за что угодно, то заниматься этим преждевременно. За различными аспектами обработки персональных данных следят три организации: ФСБ, ФСТЭК и Россвязькомнадзор.
С ФСБ общаться надлежит тем организациям, которые решили применять криптографическую защиту данных. Применять ли ее вообще — решает сама компания, если она не государственная. Даже в случае, если шифрование применяется, можно поручить, как это делалось и раньше, генерацию ключей и другие критичные для безопасности операции не своим сотрудникам, а ИТ-фирме, имеющей лицензию ФСБ на проведение подобных работ. Какие методы криптозащиты применять, кому, в каком объеме — все это пока не определено.
ФСТЭК будет заниматься контролем технологии работы с персональными данными, не связанным с криптографией, а Россвязькомнадзор — рассматривать жалобы граждан на нарушение прав в результате несоблюдения закона «О персональных данных». Был приведен пример: человеку не дали кредит в банке. Он пошел в другой, там ему тоже отказали, так как его фамилия фигурировала в «черном списке», едином для нескольких банков. Он обратился в суд ввиду нарушения своих прав: первый банк без разрешения передал его персональные данные другим. И выиграл дело. Налицо конфликт интересов частных лиц и коммерческих организаций и их объединений.
Показателен был вопрос из зала: «Трое проверяющих. Вы хоть вместе будете ходить, и желательно раз в год, или все по очереди и постоянно?» Выяснилось, что различные аспекты взаимодействия и координации усилий проверяющих — пока в процессе обсуждения.
На семинаре был отмечен ряд противоречий в существующей законодательной базе по защите персональных данных, которые необходимо привести в соответствие для упрощения выполнения требований законодательства, а именно:
- неоднозначность положений федерального закона «О персональных данных», которые по-разному трактуются государственными регуляторами и операторами;
- ограниченный ресурс уполномоченного органа по защите прав субъектов ПД, что не позволяет выполнять функции надзора в полном объеме;
- при внесении Правительством РФ в Государственную Думу проекта федерального закона «О персональных данных» затраты из средств федерального бюджета на его реализацию не предусматривались. Тем не менее обеспечение безопасности обработки персональных данных требует резкого увеличения расходов из бюджетов всех уровней, которые не планировались.
Этот последний вопрос на самом деле весьма болезненный. По неофициальным данным, крупному банку для выполнения требований закона нужно потратить на ИТ еще один годовой бюджет. Очевидно, что в текущем году это нереально. Однако, несмотря на все эти обстоятельства, ИТ-компании все равно пытаются «сыграть не опережение» и вовремя предложить рынку инструменты защиты.
Компания «СофтИнформ» продемонстрировала систему информационной безопасности для защиты персональных данных от действий инсайдеров. Именно они — основной канал утечек, и с действующим законом или без него такой инструмент может стать востребованным.
Был представлен опыт внедрения в региональном таможенном управлении ФТС России биометрической системы компании «Прософт-Системы». Эксперты LETA IT-company вынесли на обсуждение вопросы, связанные с классификацией информационных систем персональных данных, применением корпоративных стандартов информационных систем для защиты персональных данных.
Видимо, заметные подвижки в сторону защиты персональных данных и спроса на ИТ-средства такой защиты появятся только после первых случаев реальных, значимых наказаний за нарушение закона. Но к этому моменту в выигрыше окажутся те ИТ-компании, которые смогут предложить эффективные средства или услуги по необходимой модернизации ИТ-систем.