Rambler's Top100
Статьи ИКС № 5 2008
Евгения ВОЛЫНКИНА  30 апреля 2008

Регулятор как двигатель «безопасности и доверия»

Государство считает информационную безопасность одной из основных составляющих собственной безопасности, а посему не оставляет нормативно-регулирующим вниманием не только инфокоммуникационную отрасль, но и простых граждан.

К 7-й международной конференции АДЭ «Безопасность и доверие при использовании инфокоммуникационных сетей и систем» в Министерстве юстиции был зарегистрирован документ № 11462 от 03.04.2008 «Порядок проведения классификации информационных систем персональных данных», утвержденный совместным приказом № 55/86/20 от 13.02.2008 ФСТЭК, ФСБ и Мининформсвязи России.

Правила для всех с грифом «ДСП»

Как рассказал зам. начальника управления лицензирования и сертификации ФСТЭК А. Бажанов, «Порядок...» определяет правила классификации информационных систем (ИС) персональных данных (ПД), а также технологий и технических средств, позволяющих их обрабатывать. Классификацию информационной системы проводит ее оператор по результатам анализа обрабатываемых персональных данных, их объема и связанных с ними потенциальных угроз интересам личности, общества и государства.

Информационным системам будут присваиваться классы от К1 до К4. Самый жесткий, К1, соотнесен с ИС, нарушение защиты которых может привести к «значительным негативным последствиям для субъектов персональных данных», т.е. для тех граждан, чьи данные содержатся в этих системах. Правила определения классов ИС описаны в разработанных ФСТЭК методических документах. Но, как сказал А. Бажанов, сорвав аплодисменты зала, все эти документы имеют гриф «ДСП», поэтому ознакомиться с ними и применить их в работе смогут лишь обладатели лицензий ФСТЭК на техническую защиту информации.

М.Ю.ЕмельянниковК тому же упомянутый «Порядок...» на момент написания этой статьи не был официально опубликован, а вступит в силу он только через 10 дней после публикации. И лишь тогда должен, пусть в усеченном режиме, начать действовать принятый еще в июле 2006 г. ФЗ «О персональных данных». Отметим, он касается всех граждан России, чего большинство из них не осознают (см., например, блог М.Ю. Емельянникова на www.iksmedia.ru). Многие операторы ИС, которые собирают, систематизируют, распространяют и уничтожают персональные данные граждан, также не подозревают о существовании этого закона – а что уж говорить о его исполнении! Повсеместно не соблюдается запрет на обработку персональных данных (в том числе на их передачу сторонней организации, на-пример при оформлении корпоративной медицинской страховки) без письменного согласия их субъекта. Кроме того, операторы часто отказываются предоставлять субъектам этих данных сведения о категориях их ПД, целях и сроках их обработки и о том, кто имеет к ним доступ.

Как рассказал зам. коммерческого директора НИП «Информзащита» М.Ю. Емельянников, все это непосредственно относится и к телекоммуникационным компаниям. Так, в договорах операторов связи о предоставлении услуг часто ничего не говорится об условиях передачи персональных данных клиента другим операторам при организации роуминга. Иными словами, оператор обычно не имеет письменного согласия абонентов на передачу их ПД третьей стороне, а на получение такого согласия потребуется немало времени и средств, ведь даже у средних по размеру сотовых операторов сотни тысяч абонентов.

Положение усугубляется тем, что абонентские базы данных уже в силу своего размера попадают в класс К1, т.е. их защита должна быть организована «по высшему разряду». Однако размах нелегальной торговли всевозможными базами персональных данных свидетельствует, что доверять свои ПД, в том числе операторам, субъекты этих данных пока не имеют оснований.

Регулятор все же не спит,

хотя проснулся поздновато – в декабре 2007 г. Почти через полтора года после принятия ФЗ «О персональных данных» защита прав субъектов этих данных была возложена Правительством РФ на другого отечественного регулятора – Россвязьохранкультуры, наш «супер-гос-рос-охран-контроль-всего-на-свете» (см. «ИКС» № 3'2008, с. 32). Как рассказала начальник отдела претензионной работы по защите прав субъектов ПД Россвязьохранкультуры Ю. Забудько, в этом ведомстве создано специальное управление по защите прав субъектов ПД, которое занимается учетом операторов ИС, контролем и надзором за соответствием обработки ПД законодательству.

Все операторы, обрабатывающие ПД, должны были еще до 1 января 2008 г. подать в Россвязьохранкультуры уведомление о своей деятельности, а в противном случае прекратить такую обработку. После проверки уведомлений их податели вносятся в реестр операторов ПД. По закону только после окончания такой процедуры оператор может осуществлять обработку персональных данных. Но сейчас в этом реестре содержатся сведения лишь о 408 операторах – из 10 тыс. компаний, подавших уведомления.

К счастью, далеко не все операторы ПД обязаны подавать уведомления в Россвязьохранкультуры, иначе масштабы бедствия оказались бы катастрофическими. От этого, в частности, освобождены работодатели, обрабатывающие персональные данные своих сотрудников, и разные «бюро пропусков». Кроме того, не должны подавать уведомления организации, которые обрабатывают персональные данные на основании договоров с их субъектами и используют ПД только в рамках исполнения этих договоров (к последней категории относятся, в частности, все операторы связи).

Сейчас Россвязьохранкультуры разрабатывает методики проверок операторов персональных данных и привлечения их к административной ответственности за несоблюдение требований законодательства. А пока подавляющее большинство таких операторов «испытывают на прочность» известную фразу М.Е. Салтыкова-Щедрина о строгости российских законов, смягчаемой необязательностью их исполнения.

Безопасность не только информационная

была в центре внимания последней конференции АДЭ. Одно из заседаний было посвящено обсуждению проекта Технического регламента «О безопасности средств связи». Он устанавливает обязательные требования к безопасности средств связи в целях защиты жизни и здоровья граждан, животных и растений, имущества всех форм собственности, охраны окружающей среды и предупреждения действий, вводящих в заблуждение покупателей таких устройств. В нем определены требования к электрической, механической, пожарной и взрывобезопасности, к безопасности излучений, электромагнитной совместимости, к содержанию опасных веществ, процессам производства, хранения, перевозки, реализации и утилизации средств связи, к их монтажу и вводу в эксплуатацию, к использованию средств связи.

Технический регламент должен быть передан правительству для рассмотрения в январе 2009 г., а пока проходит процедуру публичного обсуждения. Как сообщила зам. руководителя Федерального агентства связи Л. Юрасова, документ разработан на основе действующих российских стандартов и максимально соответствует международным требованиям к средствам связи. Достигнутая гармонизация – пока не 100%-ная: скажем, еще остались проблемы, связанные с требованиями к электромагнитной безопасности, что обусловлено консервативной позицией Роспотребнадзора в отношении принятого во всем мире специфичного коэффициента абсорбции (SAR). Но Мининформсвязи намерено продолжать работу, нацеленную на приближение Технического регламента к международным нормам в интересах государства, бизнеса и потребителя. Если это «приближение» произойдет, то у пользователя, возможно, появятся не только гарантии безопасности, но и некоторое доверие к государству.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!