Rambler's Top100
Статьи ИКС № 05 2013
Лилия ПАВЛОВА  07 мая 2013

В круговороте персданных

Многолетняя законотворческая активность в области защиты персональных данных выливается в выжидательную пассивность операторов этих самых данных. Но рынок эпохи ожиданий никак не назовешь безынициативным.

ФЗ эпохи ожиданий

Муки законотворчества в области защиты персональных данных стали притчей во языцех сообщества инфобезопасности. Краткая ретроспектива: в 2006 г. был принят 152-ФЗ, и все замерли в ожидании выхода соответствующего постановления правительства; в ноябре 2007 г. вышло постановление правительства №781, устанавливающее требования к защите персональных данных и уровни их защищенности, – и все стали ждать соответствующих приказов ФСБ и ФСТЭК; в 2008 г. появились документы ФСБ и ФСТЭК, но уже в 2009 г. началась работа над внесением в закон изменений в части устранения требований о необходимости внедрения шифровальных криптографических средств. В 2010 г. образована рабочая группа по глобальной корректировке закона, в 2011-м принята его новая редакция – и начался второй цикл попыток операторов персональных данных привести свои ИСПДн в соответствие с законом.

Постановление правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных» отменило постановление №781 – и теперь операторы ждут новых приказов ФСБ и ФСТЭК... Как сообщил на форуме АЗИ 2013 «Актуальные вопросы информационной безопасности» Александр Горбачев (ФСБ России), выход приказа ФСБ запланирован на II кв. 2013 г. «Когда готовили постановление № 1119, у нас уже был некий проект приказа, который мы планировали быстро принять, но в правительстве постановление было серьезно переработано в сравнении с тем, что мы со ФСТЭКом представляли. Поэтому и наш документ пришлось основательно перерабатывать», – пояснил А. Горбачев.

В свою очередь, Виталий Лютиков из ФСТЭК России на апрельском CISO Forum 2013 сообщил, что приказ ФСТЭК подписан и направлен на госрегистрацию в Минюст. Документ содержит состав и содержание организационных и технических мер в зависимости от четырех уровней защищенности, которые установлены постановлением № 1119. При подготовке документа было собрано более 130 предложений от экспертного сообщества (сам документ вместе с двумя приложениями помещается на 13 страницах). «Большинство замечаний касались устранения неточностей в постановлении № 1119 в части определения угроз, но мы не смогли учесть данные пожелания, поскольку документ по своему статусу, прописанному в ст. 19 ФЗ-152, должен только определять меры по защите персональных данных в ИСПДн», – признал В. Лютиков. Тем не менее представитель ФСТЭК отметил, что в этом документе предполагается установить норму, позволяющую не вносить изменения в ИСПДн, которые уже защищены в соответствии с ФЗ-152 и подзаконными актами.

Кроме того, в настоящее время ФСТЭК готовит к выпуску линейку национальных стандартов, три из которых относятся к уязвимостям ИС (классификация уязвимостей, правила описания, содержание и порядок выполнения работ по выявлению и оценке уязвимостей ИС), а также ряд новых рабочих документов (требования к DLP-системам, средствам доверенной загрузки, средствам двухфакторной аутентификации, средствам контроля съемных носителей информации, новое положение о сертификации средств защиты информации и рекомендации по обновлению сертифицированных средств защиты информации).

Между тем операторы персданных устали жить в эпоху перемен и ожиданий. «Времени на реализацию закона было совсем немного, это конец 2008 г. и 2009 г., когда было более-менее спокойно, – отметил Сергей Акимов (Leta). – На этот период приходится и пик активности по проектам. А после 2011 г. активность практически нулевая». Чтобы закон наконец заработал, необходимы понятные операторам и реально исполнимые требования и нормы, эффективная система контроля, а также время на полный цикл реализации требований. По мнению С. Акимова, операторам надо дать два-три года «пожить спокойно», а не в эпоху вечных перемен.

Контрольная работа

В выстраивании эффективной системы контроля за выполнением требований законодательства в области защиты персональных данных намечаются большие сдвиги уже в ближайшее время. Прежде всего речь идет об изменении существующих подходов к порядку определения и размеру санкций за правонарушения в области персданных в сторону их ужесточения. Как сообщил Андрей Кувыкин (Роскомнадзор), в 2012 г. разработан проект федерального закона о внесении изменений в Кодекс РФ об административных правонарушениях. Основная цель законопроекта – исключение возможных фактов несоблюдения принципа неотвратимости наказания за совершенные правонарушения в области персональных данных и наступившие негативные последствия для гражданина. Для достижения этой цели предполагается передать от органов прокуратуры Роскомнадзору полномочия по возбуждению и ведению дел об административных правонарушениях в сфере персональных данных, с введением новых составов нарушений с квалифицирующими признаками и увеличением размеров штрафных санкций. Законопроект поддержан Консультативным советом при Роскомнадзоре, согласован с заинтересованными федеральными органами исполнительной власти, успешно прошел оценку регулирующего воздействия, правовую и антикоррупционную экспертизу и передан на рассмотрение в правительство.

А. Жданов (справа): «Пора посмотреть поверх языковых и географических барьеров» К принятию этого закона операторы относятся без особого энтузиазма, однако признают, что повышать эффективность контроля необходимо. Как отметил член Консультативного совета Роскомнадзора Александр Жданов («Медианн-Решения»), во всем мире защите персональных данных уделяется огромное внимание, и законодательные системы большинства стран сегодня также находятся в стадии изменений, добавлений, во многом ужесточений. В США, например, законодательно установлены требования обязательного уведомления жертв утечек персональных данных, регистрации факта утечки в различных инстанциях, обязательного требования оказания оператором персональных данных помощи жертвам утечек. Примечательно, что система защиты персональных данных в США выстроена таким образом, что в ней активно участвует и гражданское общество. Так, Центр поддержки жертв «кражи личности» (утери персональных данных) оказывает им консультационную помощь по вопросам личной защиты в связи с утечками. Ponemon Institute, некоммерческая общественная организация, с 2002 г. ведет регулярный мониторинг утечек персональных данных, выпускает ежегодные аналитические отчеты об их характере и масштабах, с оценкой потерь операторов вследствие утечек информации. По сути он служит национальным информационным источником в области инцидентов информационной безопасности и предоставляет своему государству, да и всему миру, мощную статистическую базу для определения тенденций в области защиты персональных данных, а также эффективности различных мер защиты.

Домашнее задание

В российском законодательстве полностью отсутствуют нормы, которые регламентировали бы действия операторов по ликвидации последствий утечек и оказанию помощи жертвам раскрытия персональных данных; нет и норм, предоставляющих гражданам возможность принимать личные меры защиты. Российские компании при инциденте не несут расходов на уведомление граждан об утечке, на ликвидацию последствий утечки, на оказание содействия жертвам утечки и на рекламу и маркетинг для восстановления размеров оборота после инцидента (оттока клиентов). Все это – «белые пятна» нашего законодательства, которое, с одной стороны, постоянно меняется, а с другой – стопорится. По мнению А. Жданова, общественность инфобезопасности могла бы отчасти эти белые пятна убрать, не прибегая к законодательным нормам.

По аналогии с деятельностью общественных организаций в США можно было бы создать в России некий информационно-аналитический центр (в форме некоммерческого партнерства), например, на базе ассоциаций защиты информации или информационной безопасности. В любом случае это должна быть общественная организация, которая взяла бы на себя функцию регистрации и публикации инцидентов компрометации персональных данных, анализа причин, анализа практики ликвидации их последствий; по итогам анализа результатов утечек центр мог бы формировать рекомендации жертвам утечек персональных данных для принятия личных мер безопасности. Затраты на его создание и функционирование, по экспертным оценкам, могут составить 2–4 млн руб. в год, если в штате будет работать три человека (директор, бухгалтер, секретарь), а основная работа будет вестись привлекаемыми экспертами на общественных началах. Источники финансирования некоммерческой организации известны: спонсорская помощь, членские взносы, отдельные работы на коммерческих условиях. При этом общественная значимость такого института огромна. Да и для государства он мог бы стать мощной опорой в вопросах защиты персональных данных граждан.

Так работает Ponemon. Почему бы и нам не попробовать?

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!