Закон ФЗ-152 «О персональных данных» несколько лет дорабатывался, в него вносились различные изменения. Насколько совершенна его нынешняя редакция, чего ждать от закона ИТ-рынку и самим операторам ПДн, какое будущее ждет системы работы с персональными данными? На эти и другие вопросы обозревателя CRN/RE Маринэ Восканян отвечают Геннадий Васильевич Емельянов, председатель Совета Межрегиональной общественной организации «Ассоциация защиты информации», Александр Васильевич Соколов, председатель Комитета по вопросам информационной безопасности АП КИТ, председатель совета директоров ЗАО «Лаборатория СКАТ», и Надежда Александровна Александровская, генеральный директор компании «Функциональная безопасность бизнеса».

CRN/RE: Существует мнение, что с помощью ФЗ-152 можно легко парализовать работу любой компании, замучить проверками...

Геннадий Емельянов: Не надо делать из наших госорганов какого-то монстра. Да, они имеют по закону такое право. Но уже неоднократно говорилось, что эта серьезная санкция будет применяться только в исключительных ситуациях, к примеру к злостным нарушителям закона. Но и не надо смягчать ситуацию, когда некоторые операторы высказывают такую точку зрения: мол, я лучше заплачу штраф, если проверят, чем буду создавать дорогостоящую систему защиты. Мне это дешевле обойдется.

Такая позиция говорит об отсутствии у этих операторов ПДн социальной ответственности перед обществом. Они ставят во главу угла не защиту субъекта персональных данных, а корыстные интересы своих компаний. Не так давно, к моему возмущению, один из представителей бизнеса (я обещал не называть ни его, ни представляемую им организацию) публично заявил, что самую большую угрозу для его компании представляет не утечка информации о персональных данных клиента, а госорганы, которые при проверке могут наложить в случае выявленных нарушений санкции. А претензию конкретного человека за причиненный ему ущерб, в случае разглашения его персональных данных, проще решить с ним на экономической основе, и дешевле. Конечно, соответствующую оценку его позиции я высказал. Но боюсь, что такая точка зрения не единична.

Надежда Александровская: Закон не проходил проверку на потенциальную коррупционность. Можно предположить, что это дает возможность вашему конкуренту «настучать» на вас в контролирующие органы. Закон можно попытаться использовать как инструмент рейдерства.

Александр Соколов: Были такие предположения, многие еще полтора года назад испугались подобных перспектив. Действительно, технология предельно проста: готовится текст жалобы по поводу нарушения закона конкурентом, раздается группе граждан, которые и отправляют ее от своего имени в соответствующую инстанцию. Результат: фактическая блокировка деятельности конкурента непрерывными проверками. Алгоритм правильный, но в него следует внести некоторые уточнения. Да, контролирующий орган обязан произвести проверку по заявлению субъекта ПДн. Но в случае массового обращения проверка оператора будет (если достаточно оснований), но одна. При поступлении аналогичных заявлений после проверки, скорее всего, проверяться будут уже заявления, а не оператор.

Г. Е.: Да, хочу добавить, что опасность, когда конкуренты могут использовать закон в своих корыстных интересах путем искусственного инспирирования жалоб на конкурентов, существует, и такие примеры, по информации Роскомнадзора, уже есть. Но этот орган, на мой взгляд, уже научился определять «ложные ситуации». Представители Роскомнадзора приводили такого рода примеры на публичных мероприятиях, не буду подробно на этом останавливаться, это их прерогатива. Но их информация меня удовлетворила.

CRN/RE: Существует точка зрения, что требования закона большинству компаний — операторов ПДн выполнить в оставшееся до 1 января время нереально, в результате одно из двух — они попадут в категорию нарушителей и будут платить взятки либо формально установят какие-то решения, но упрощенные. Последнее создает рынок для неких «коробочных» решений по ИБ, хотя в полноценном проекте по защите ПДн, наверное, нужен все-таки индивидуальный подход.

А. С.: Естественно, невозможно выпустить закон, который был бы полностью выполним сразу и всеми без пояснений. Это норматив верхнего уровня и конкретные случаи он не может предусмотреть. Проблема в наличии актов, разъясняющих закон. Персональные данные — сфера достаточно новая. Еще лет десять назад даже такого понятия не было. Данные принадлежали не гражданину, а государству. Кто, как обязан защищать данные, к кому обращаться в случае утечки? Теперь есть закон, защищающий права граждан. С момента принятия закона прошло множество конференций, семинаров и «круглых столов» по теме персональных данных в контексте данного закона, на которых выступали представители контролирующих органов и проводили разъяснения методов и средств выполнения требований закона.

Что касается взяток за исключение из списка нарушителей закона, то это я не хочу даже комментировать. С подобными случаями лично не сталкивался.

«Упрощенные», как вы их назвали, решения существуют. Более того, они уже выработаны для многих типовых случаев. Но какие именно решения нужны в конкретной ситуации, приходится решать индивидуально.

Н. А.: Незнание закона не освобождает от ответственности. Закон принят не вчера, было продление сроков вступления санкций в действие. Платить взятки? В нашем законодательстве предусмотрена уголовная ответственность не только для тех, кто берет, но и для тех, кто дает. Проще и спокойнее выполнять требования закона, чем его нарушать.

CRN/RE: Кто сейчас является владельцем ПДн?

А. С.: Персональные данные — это данные, которые принадлежат каждому из нас с вами персонально, и их владельцы — мы, точнее, каждый из нас — субъектов ПДн. А операторы — это те, кто их собирает, обрабатывает, передает и хранит.

Если организация — оператор ПДн, то она должна уведомить Роскомнадзор о наличии обработки, ее целях и параметрах. Форма уведомления приведена на сайте Роскомнадзора.

Н. А.: Действительно, в нашей стране большое количество юридических лиц с различными структурой и формой собственности, количеством сотрудников и профилей деятельности. Если это небольшое предприятие, где персональные данные обрабатываются на уровне бухгалтерии и отделов кадров, то полное выполнение требований закона будет достаточно затратным.

CRN/RE: Каков потенциальный объем этого рынка в деньгах, как он будет развиваться в ближайшие годы? Сколько у нас в стране операторов персональных данных?

Г. Е.: В настоящее время на этот вопрос вряд ли кто ответит. Объем средств, необходимых для реализации закона, сильно зависит от параметров системы обработки ПДн, ее распределенности, количества пользователей, применяемых технических средств и т. п. С другой стороны, и количество операторов персональных данных, которые по закону должны быть зарегистрированы в Роскомнадзоре, к сожалению, не известно. Сложность в том, что оператор персональных данных — это любая организация или предприятие вне зависимости от формы собственности, индивидуальные предприниматели, которые хранят и обрабатывают данные о своих сотрудниках. Существующие оценки — от 7 до 8 миллионов организаций подпадают под действие закона. Часть организаций — операторов персональных данных — еще до выхода закона приводили свои информационные системы в порядок с точки зрения информационной безопасности. Для них затраты на соответствующие мероприятия по выполнению требований ФСТЭК и ФСБ не очень большие. В качестве примера можно привести ЦБ РФ. Другим же придется проводить комплекс мероприятий в полном объеме. Но даже для них невозможно привести обобщенную оценку, поскольку объем затрат, как я уже сказал, очень сильно зависит от специфики конкретной организации, обрабатывающей персональные данные.

Но с уверенностью можно сказать, что если государство намерено строго следить за исполнением своих законов, — рынок должен серьезно вырасти.

В то же время затраты на реализацию закона у конкретных операторов ПДн, по сравнению с существующими, по мере развития ситуации и появления все новых и новых решений должны не расти, а снижаться. Особенно, если отрасли, профессиональные объединения и т. п. будут заботиться о своих представителях и брать на себя часть расходов по разработке типовых отраслевых, корпоративных решений, а конкретные предприятия будут дорабатывать их с учетом своей конкретики. Этот путь компании нашей Ассоциации уже успешно прошли, в частности, по линии Минкомсвязи, операторов мобильной связи и др.

Более того, у нас есть компании, которые, предвосхищая реализацию этого принципа, уже разработали ряд недорогих типовых решений такого рода, к примеру, для негосударственных пенсионных фондов, которые они докладывали на проведенном по инициативе НАПФ «круглом столе» в этом году. Воздержусь от упоминания этих компаний, чтобы меня не упрекали в рекламировании какой-то из них.

CRN/RE: Не машут ли законодатели в каком-то смысле после драки кулаками? Ведь сейчас в Сети можно найти (купить) диски с любыми данными граждан.

А. С.: Да, но теперь такие диски появляются гораздо в меньшем количестве и с меньшей актуальностью. Раньше базу различных ведомств можно было купить совсем «свежую», трехмесячной давности. Сейчас — уже, скорее всего, не менее годичной давности. Так что положительное влияние закона становится заметным.

Кроме того, раньше, даже если вы обнаружили где-то свои ПДн и определили нежелательное для вас использование, ничего нельзя было сделать. А сейчас вы имеете законное право жаловаться в Роскомнадзор или в прокуратуру. И тут вот возникает ситуация — даже если компания — оператор ПДн решила просто «откупаться» от проверяющих, после такой жалобы «субъекта персональных данных» ей уже не избежать настоящей внеплановой проверки и соответствующих санкций в случае обнаружения нарушений. Вы вполне можете провести подобный эксперимент, как представитель СМИ, для получения самой объективной информации.

CRN/RE: Смогут ли ИТ-компании развить для себя новый сегмент рынка, обучив своих специалистов, и предлагать клиентам: а) консалтинг и затем б) программно-аппаратное решение?

А. С.: Мы не будем рассматривать крупных интеграторов, которыми этот сегмент уже осваивается. Рассмотрим ИТ-компании составом 2–10 человек Что значит освоить новый сегмент, тем более такой специфический? Как минимум нужно получить необходимую лицензию или несколько в зависимости от перечня услуг. Для получения лицензии необходимо выполнить требования, во-первых, по наличию специалистов определенной квалификации, во-вторых, по определенным программно-аппаратным средствам, в-третьих, по специальному помещению. Поэтому перед освоением нового сегмента следует оценить его рентабельность.

CRN/RE: Еще вопрос: окупится ли это новым спросом. Потенциальные клиенты ведь могут просто «заплатить» контролерам...

Н. А.: Думаю, да, и особенно в регионах. Закон создает, формирует новый сегмент рынка. А заплатить, так у нас в стране предусмотрена уголовная ответственность за дающих и берущих взятки. Что значит «заплатить»? Ведь не вызывает удивления то, что юридическое лицо должно платить налоги, отчисления в пенсионный фонд, фонд социального и медицинского страхования. Так почему вызывает такое неприятие обязанность защищать персональные данные своих сотрудников или клиентов. Конечно, наверное, было бы хорошо более детально разграничить требования к мелкому и среднему бизнесу с учетом особенностей обработки персональных данных, например между обработкой ПДн туроператорами и обработкой ПДн сотрудников в отделе кадров и бухгалтерии. Но это нормальное требование. Не стоит драматизировать ситуацию.

А. С.: Как ранее уже отметил Геннадий Васильевич, у нас в стране 7–8 миллионов потенциальных операторов ПДн. Какой штат обученных инспекторов нужно иметь, чтобы проверить такое количество организаций? Поэтому кто-то действительно может рассчитывать, что его проблемы обойдут стороной. Ну а выбор: быть нарушителем закона или нет — остается за каждым оператором ПДн.

Г. Е.: Это вопрос уже не к нам, а к госорганам, которые проверяют исполнение закона. А также к прокуратуре, которая проверяет тех, кто проверяет... и т. д. по восходящей, вплоть до президента. Проблема правильной иерархии контроля над контролем, а тот, в свою очередь, над другим контролем и т. д., к сожалению, существует. И ее надо решать не на примере этой конкретной ситуации, а вообще в стране.

CRN/RE: Так как же быть в таких условиях маленьким ИТ-игрокам, где найти свою нишу?

Н. А.: Я думаю оптимальный вариант — сотрудничество с более крупными компаниями-лицензиатами. Маленькие ИТ-компании поставляют клиентам непосредственно аппаратное и программное обеспечение, а работы, требующие навыков, знаний и прежде всего лицензии, консалтинг — выполняет интегратор. Самому интегратору брать на себя все вот эти небольшие региональные проекты не надо и нет смысла. А участвовать в них в партнерстве с местными компаниями удобно.

А. С.: Имеется и второй сценарий: выбрать для себя сегмент клиентов с более-менее типовыми задачами. У такой компании в любом случае нет ресурса, чтобы работать со всеми клиентами подряд, здесь же можно специализироваться на каком-либо конкретном виде деятельности. Например, выбор падает, скажем, на аптеки. Тогда данная фирма может обратиться с запросом на разработку типового проекта к опытной компании. Тогда, не взирая на затраты на получение лицензии, она получит дешевое типовое решение, которое быстро научится адаптировать под заказчика.

CRN/RE: Но в регионах ИТ-компании вынуждены работать с любыми клиентами, могут ли они выбирать?

А. С.: Ответ следует из предыдущего. Выбирают очередного клиента, обращаются за помощью к профессионалам, адаптируют решение и внедряют его.

CRN/RE: Получается, что сегодня крупные интеграторы находят для себя новую консалтинговую нишу?

А. С.: Да, уже нашли. Идет распространение на регионы. Если в регионе много заказов, связанных с законом «О персональных данных», можно открыть представительство. Или используется схема партнерства с местными компаниями, имеющими соответствующие лицензии.

CRN/RE: Пока все озабочены тем, как не нарушить новый закон. Но что будет после первого этапа? Сейчас всем нужны такие решения, создается спрос на них, но что будет потом, через год, два, пять?

А. С.: Возьмем некую идеальную организацию. Она поняла, что является оператором ПДн, зарегистрировалась в Роскомнадзоре, все требования закона выполнила. Но основное правило бизнеса — непрерывное развитие. Появилось новое представительство или филиал, добавилась новая бизнес-функция, перешли на новую информационную систему... В результате изменились и ИСПДн. Возникла необходимость проверить соответствие требованиям закона, особенно с учетом изменений в законе и подзаконных актах. Собственно, ничего нового — аналогично сопровождению обычной информационной системы.

Н. А.: В любом случае небольшой компании — оператору ПДн проще выделить деньги, но все сделать с точки зрения закона. Почему? Во-первых, не надо содержать в штате своего специалиста, что является затратной частью бюджета. Во-вторых, при проверке в случае некачественного выполнения работ страдает компания, выполнявшая работы по защите персональных данных.

CRN/RE: Понятно, что закон стимулирует обращение операторов ПДн к ИТ-компаниям. Может ли это привести к тому, что их взаимоотношения станут более тесными?

Г. Е.: Может. Но только уточняю, не к ИТ-компаниям в чистом виде, а к компаниям, занимающимся проблематикой информационной безопасности. А защита ПДн — это часть этой проблематики.

А. С.: Вполне. Ведь они не делают сами себе электропроводку, часто не держат даже штатного бухгалтера. ИТ-компании могут стать такими же «бухгалтерами» в области услуг проектов защиты ПДн, особенно с учетом расширяющегося сегмента облачных вычислений.

Н. А.: Это в глубокой перспективе. На сегодняшний день в компаниях мелкого и среднего бизнеса в регионах еще не до конца осознали необходимость выполнения требований данного закона.

CRN/RE: Возрастет ли спрос на программно-аппаратные средства в связи с необходимостью выполнять ФЗ-152?

А. С.: Думаю, незначительно. Крупные компании закупали соответствующие средства и раньше. А совсем малые фирмы — допустим, там есть одно рабочее место, где с ПДн работает один сотрудник, например, бухгалтер, он же — кадровик. И компьютер у него один, и комната, и ключ один, доступа других людей нет, и к сети Интернет не подключен. В таком случае никакой специальной, дополнительной защиты не нужно. То есть для таких компаний способ выполнить закон — это не только ставить средства защиты, можно просто разграничить работу с ПДн.

Г. Е.: Я уже ответил на этот вопрос. Должен возрасти, если все операторы ПДн будут законопослушны.