Статья 19 152-ФЗ «О персональных данных» была заморожена не просто так — ее мало кто мог выполнить. От частных фирм требовались немалые затраты, госорганам из бюджета денег не давали. Сначала ее вступление в силу перенесли на 1 января 2010 года, потом на 1 января 2011-го, потом на 1 июля 2011-го. Параллельно готовилась новая, более щадящая редакция, согласно которой частный оператор персональных данных, не обрабатывающий тайные сведения, сам определяет меры защиты своей базы, при этом отраслевые организации могут создавать некие стандарты защиты. Для госкомпаний стандарты разрабатывало государство. Причем во главу угла ставилась защита субъекта персональных данных. В такой формулировке статья прошла первое чтение в Госдуме и вдруг исчезла из базы. Появился новый вариант поправок, и не одной статьи, а всего закона, столь жесткий и бескомпромиссный, что сразу стало ясно: писали его люди из дома на Лубянке. В начале июля он моментально прошел второе и третье чтения, а 13 июля и Совет Федерации.
Разморозка 19-й и не только
Если ты частный предприниматель, а вся база твоих клиентов — это небольшая табличка, которую ты держишь в программе Google Docs — облачном сервисе Google для документов, — и физически твоя несчастная табличка находится где-то на сервере в США, то ты нарушаешь сразу несколько статей 152-ФЗ.
Теперь любая частная фирма должна выделить человека, ответственного за обработку ПД, закупить специальное ПО, а иногда и аппаратное обеспечение, произведенное компанией — лицензиатом ФСТЭК и ФСБ. Нетрудно догадаться, что все эти компании-лицензиаты близки к ФСТЭК или ФСБ. Более того, согласно закону, сертифицируется не просто программа, а каждый конкретный экземпляр — естественно, за отдельную плату. Есть у вас данные о клиентах на пяти компьютерах, значит, надо сертифицировать пять экземпляров, на ста компьютерах — сто экземпляров. Процесс длится от 9 до 12 недель. А еще те же компании должны произвести оценку мер безопасности. Станет ли это обязательной аттестацией — пока непонятно. Полный перечень процедур будет содержаться в подзаконных актах, которые ФСТЭК и ФСБ еще не написали.
В прежнем варианте законопроекта контроль и надзор со стороны ФСТЭК и ФСБ был разрешен только в отношении госорганов. А в текущем варианте ФСТЭК и ФСБ, с учетом значимости и содержания ПД, решением правительства могут быть наделены полномочиями по контролю и надзору над негосударственными информационными системами.
Другой настораживающий факт, уже коррупциогенный: в части 2 статьи 19 не назван субъект, в компетенцию которого входит определение процедуры оценки средств защиты информации; в пункте 4 не указаны критерии оценки эффективности принимаемых мер по обеспечению безопасности ПД и т. д.
Однако не всему бизнесу закон навредил. Для компаний-интеграторов он создал фактически новый рынок, многие заработали на консалтинге по информбезопасности и внедрении ПО.
«Закон нужен, мы живем в такой стране, в которой надо все регулировать», — считает Дмитрий Савченко, директор бизнес-направления информационной безопасности компании “Микротест”. — Если решение об уровне и необходимости защиты оставили бы оператору персональных данных, как это реализовано в европейском законодательстве, а наказывали бы только в случае инцидента (воровства или какой-либо утечки ПД), то большинство компаний вообще ничего бы не делали. Стоит учесть, что наказывают за подобные правонарушения у нас мягко (размеры штрафов ниже стоимости решений), а практика выплат, точнее, суммы, которые выплачивают компании пострадавшим по их вине клиентам, просто вызывают недоумение».
Впрочем, и г-н Савченко не доволен теми методами, которыми достигается безопасность информации. «Закон и все подзаконные акты готовили люди, которые раньше занимались охраной государственной тайны, — объясняет он. — И все очень жесткие технические подходы оттуда». А вот организационные меры, то есть защита от «слива» данных через сотрудников предприятия, прописаны слабо, а именно таким образом по всему миру и происходит большинство утечек. «Гораздо дешевле подкупить сотрудника, имеющего доступ к нужным данным, чем организовывать какую-то сложную хакерскую атаку», — считает Дмитрий Савченко.
Кстати, весь закон касается только электронных данных. А вот если, например, в поликлинике все данные о здоровье пациентов на бумажных носителях — никаких новых требований к ним нет.
Сколько это стоит
Оценки ущерба для бизнеса от принятия нового закона разнятся. «Расходы на установку системы обработки ПД для разных компаний могут составлять от 10 до 200 процентов годового оборота (в последнем случае это может быть маленькая частная клиника), годовые затраты составляют примерно 10–15 процентов от стоимости этих систем», — подсчитали в одной из сотовых компаний. В открытом письме президенту РФ, опубликованном пятью ведущими специалистами в области информационной безопасности, говорится следующее: «По оценкам парламентских слушаний 20 октября 2009 года, на реализацию этих неэффективных в деле защиты прав субъектов персональных данных мероприятий всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат, операторы, с очень большой вероятностью, переложат указанные расходы на субъектов — потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов». Сотовые операторы беспокоятся, что уже установленные и внедренные ими сложные системы защиты (а случаев утечек ПД у них в последнее время нет) признают негодными и заставят снова тратиться на продукты, сертифицированные ФСБ. Так, для компании масштаба МТС установка и сертификация необходимого оборудования может обойтись примерно в 40 млн долларов, еще от 2 до 5 млн долларов ежегодно будет уходить на поддержание системы.
Но в панику впадают не все. В компании «Микротест» считают, что фирма из 10 человек может уложиться в 150 тыс. рублей. Такие проекты у них уже были. «Если персональные данные уже хранятся в защищенной базе данных и доступ к консолидированной информации имеют два человека, то достаточно бумажной работы, без закупки средств защиты. Если у вас такие данные лежат в excel-файлах на компьютерах всех сотрудников — вам каждый компьютер придется защищать. По некоторым оценкам, до половины организаций, обрабатывающих персональные данные, способны обойтись без закупки дополнительных средств защиты, потратившись только на приведение в порядок бумаг и на организационные меры», — считает заместитель генерального директора InfoWatch Рустэм Хайретдинов.
И снова госрэкет
С тем, что персональные данные надо защищать, никто не спорит. Весной этого года произошла утечка данных о клиентах из магазина цифрового контента для Playstation японской корпорации Sony, несколько лет назад была большая кража из Citibank. В России по украденным паспортным данным мошенники берут кредиты, используются данные Пенсионного фонда РФ (скандальная история, когда оттуда незаконно была переведена накопительная часть пенсии тысяч москвичей в негосударственный пенсионный фонд «Норникель», случилась весной этого года). По оценке специалистов InfoWatch, в прошлом году в мире произошло 794 утечки, о которых стало известно широкой публике, из них 96% — это персональные данные и лишь 1% — гостайна. А о скольких историях мы просто не знаем!
Не сказать чтобы российский частный бизнес этим не озаботился. Например, базы данных клиентов многие компании защищают очень хорошо — это их актив. «К нам обращаются транспортные компании, автодилеры, чтобы мы сделали более всеобъемлющие меры защиты, чем по 152-ФЗ, особенно в области кражи информации собственными сотрудниками», — говорит Дмитрий Савченко из «Микротеста». А вот в госорганах ситуация совсем другая. Минздрав — а данные о здоровье человека относятся к самому высокому, первому, классу угроз (всего их, согласно методике ФСТЭК, четыре) — вообще не выделяет денег на защиту ПД. На рынках Москвы (см. статью «Утечка данных» на сайте http://expert.ru от 13 июля 2011 года) можно запросто купить диски с базами адресов и телефонов москвичей, с данными из налоговой инспекции, Минфина, базы угнанных автомобилей. Их источники не частные фирмы, а некие лица в правоохранительных и других госорганах. А как раз данных от частных компаний — номера сотовых телефонов, взятые физлицами в банках кредиты — на рынках уже давно нет.
В бюджете ни на 2011-й, ни на 2012 год средств на реализацию мер, предусмотренных 152-ФЗ, нет. Совет Федерации только дал поручение подсчитать, сколько вообще на это надо денег. А значит, с проверками в госкомпании не пойдут. Остается частный бизнес. 152-ФЗ может стать новой опорой для вымогателей из госструктур, как, например, это случилось при борьбе с использованием незаконного программного обеспечения.
И еще. В законе как-то потерялся объект — человек, данные о котором хотят украсть. Помогут ли все эти меры сократить мошенничество, преступность? Большинство опрошенных «Экспертом» в это не верят. Ведь проверять будут только технологические ухищрения, а не сами факты утечки. Хотя, как показывает бурное распространение соцсетей, нынешний homo sapiens все свои персональные данные охотно выкладывает в сеть сам, ничего не боясь.
Источник: http://expert.ru/expert/2011/28/novaya-model-ugroz/