| Рубрикатор |  |
 |
| Статьи | |
|
| 14 августа 2008 |
Персональные данные под защитой
От гостайны до биллинга – таков диапазон обсуждения участниками рынка ФЗ «О персональных данных». Читайте полную версию круглого стола, опубликованного в журнале «ИКС», № 7–8/2008. Часть VI.
«ИКС»: Смогут ли операторы связи защитить персональные данные на своих сетях согласно ФЗ «О персональных данных»? Достаточно ли для этого нормативных и регламентных документов, есть ли система соответствия? Какова цена вопроса для оператора?
Дмитрий Костров, руководитель службы безопасности, МТТ: Не скрою, получив документы от ФСТЭК по соблюдению ФЗ «О персональных данных», я ужаснулся и вспомнил о гостайне. Компания у нас большая, проблем будет немало, поскольку по созданной ФСТЭК классификации операторов ПД МТТ попадает в самый высокий класс защиты. Да, при наших людских и финансовых ресурсах все не очень страшно, но, на мой взгляд, не очень правильно. Закон о передаче данных, конечно же, – повторение прошлых ошибок, потом будем дорабатывать…
Илья Трифаленков, директор по развитию бизнеса, «Инфосистемы Джет»: Проблема Закона о персональных данных в том, что он инициирован регулирующими структурам, вводился сверху. А снизу все воздействия на него были не от тех, кто занимается реальной защитой ПД, не от реальных потребителей и операторов, а от каких-то иных структур типа церкви (она беспокоилась, чтобы, не дай Бог, человека цифрой не прописали). Отсюда и беда.
Юлий Нисневич, профессор ГУ ВШЭ, сотрудник ЦИПРТ: Когда мы говорим о персональных данных и коммерческой информации, то сразу возникает одна очень серьезная проблема. Абсолютная законодательная дыра – защита служебной информации. А ценность коммерческой и служебной информации может быть финансово равноценной. Хотя в Конституции есть слова о защите именно служебной информации.
Я ратую за то, чтобы специалисты отрасли задумались и не вышло бы, как с Законом о рекламе. Собрали в 1995 г. представителей рекламных агентств и сказали: ребята, зреет закон о рекламе, надо писать. Ответ был гениальный: а нам без закона лучше. Через год получили ФЗ, написанный регулятором.
Святослав Березин, ведущий инженер, «АМТ ГРУП»: Когда речь идет о персональных данных – это ведь не только ПД сотрудников провайдера. А есть и ПД, которые передаются по сети провайдера. Какова здесь классификация систем? Как быть, если клиент сам не может осуществить закрытие информации, которая передается по сети провайдера?
Д. Костров: Не надо смешивать разные понятия. Есть персональные данные, которые хранятся в отделе кадров оператора, – это один уровень. Есть ПД, хранящиеся в биллинге, – другой уровень. А за ПД, отправленные кем-то из пункта А в пункт Б, никакой провайдер не отвечает, кроме секьюрити-провайдера, который предоставляет закрытый канал. Это как кошелек на улице положил и ждешь, что его кто-то защитит.
И. Трифаленков: Действительно, я полностью согласен с тем, что если мы говорим про защиту персональных данных, то можно рассматривать лишь эти два аспекта: собственные ПД сотрудников оператора и ПД, передаваемые оператору в процессе его деятельности (биллинга, регистрация пользователей и т.д.). А защита ПД в трафике пользователя – это не предмет деятельности оператора. В лучшем случае – предоставление дополнительных услуг. Оператор может согласиться отвечать за всё, но за дополнительные деньги.
Нормативных документов для защиты ПД на сегодня достаточно, хотя требования к системам низкого уровня очень несовершенны и нуждаются в модернизации.
Александр Гермогенов, зам. директора Департамента госполитики в области ИКТ Мининформсвязи России: Что касается модернизации требований, то необходима определенная практика применения норм. Без этого нельзя выявить недостатки и принять окончательное решение.
И. Трифаленков: Некоторые можно определить и без практики. Да и сроки на соответствие отведены ограниченные.
Дмитрий Соболев, директор Дирекции информационной безопасности компании ТТК: В ФЗ «О персональных данных» главное действующее лицо – оператор ПД. Специфику оператора связи никто учесть не захотел. Так, АСР обязательно содержит систему взаимодействия с клиентом (персональная страничка с информацией о балансе его счета и т.д.), возникает необходимость взаимодействия АСР с Интернетом. Как в этой ситуации обеспечить те требования, которые нам предъявляют? Как доказать регулятору, что меры, реализованные для обеспечения безопасности информационной системе ПД, достаточны? Придется определять требования к вендорам, разработчикам биллинговых систем, чтобы они обеспечили корректное взаимодействие CRM c Интернетом и биллингом, а это дополнительные накладные расходы на оператора связи.
Д. Костров: Тут не просто сервер или CRM, всю территориально распределенную систему надо защищать, а размещать в одном месте все данные мы не имеем права. Задача просто непомерная.
Рустэм Хайретдинов, заместитель генерального директора, InfoWatch: Для того чтобы наказать за несоблюдение, нужна возможность проконтролировать. Контролировать крупнейших операторов очень легко, их можно пересчитать по пальцам. Они-то и пострадают. А где найти ресурсы, чтобы провести аудит и наказать мелких провайдеров?
И. Трифаленков: Всё может быть решено проще и не техническими средствами. В каждый договор о предоставлении услуг юристы впишут соответствующий абзац о том, что пользователь согласен, чтобы данная страница в том виде, как она есть, публиковалась в Интернете. Хочешь – подписывай, не хочешь – отдыхай.
«ИКС»: Фактически получается, что тех нормативных правовых документов, которые уже увидели свет, не хватает?
А. Гермогенов: Почему не хватает? В документах определено, ч т о надо защищать. А как – это ваше дело. Требование одно: сертифицированными средствами.
Д. Соболев: Дело не в том – к а к, а в том – сколько стоит эти требования реализовать. Операторы столкнутся с проблемой защиты персональных данных в силу отраслевой специфики. Если эти требования не адаптировать под специфику отрасли, то о возможности доступа к персональной странице клиента придется «забыть». Вот и влияние стандартов в области ИБ на бизнес.
Подготовила Галина Большова
Адрес: 105082, Россия, г. Москва, 2-й Ирининский пер, д. 3