Государство начинает бурную деятельность по защите наших личных данных?

Не для кого не секрет, что узнать данные человека по номеру телефона напрямую в сотовой компании (например через знакомых) не представляет особого труда. Также точно при желании, а также с помощью некоторого количества денег можно собирать информацию из многих других источников, где мы регулярно оставляем свои анкеты, большие и маленькие, с данными разного уровня ценности. Закон, конечно, нас защищает, только как всегда, лишь на бумаге.

В прошлом году прокуратура Кировского района Ярославля возбудила дело против заместителя гендиректора кадрового агентства "Поиск". Причина - результаты проверки, которую провели чиновники Роскомназдора, уполномоченные контролировать выполнение закона №152-ФЗ "О персональных данных". Он вступил в силу в январе 2007 года, но предпринимателям дали время на "докрутку" информационных систем. Сначала до 1 января 2010 года, затем срок был увеличен еще на 1 год, теперь еще на полгода - до 1 июля 2011 года. Пока что наказание за невыполнение закона невелико, но проверки выполнения его требований уже идут. Например, все компании, которые работают с персональными данными (это более 5 млн фирм) должны подать заявку о регистрации в Роскомнадзор. Однако это сделали всего чуть более 175 000 компаний. Все остальные - формальные нарушители. Топ-менеджер "Поиска" отделался штрафом в 500 рублей. Однако с 1 июля 2011 года наказание за несоблюдение закона будет уже совершенно иным, а к проверкам вплотную подключатся ФСТЭК (Федеральная служба по техническому и экспортному контролю) и ФСБ.

"Четверокнижие" и другие требования

Закон был принят, поскольку Россия еще в 2001 году присоединилась к Конвенции о защите физических лиц при автоматизированной обработке персональных данных. Разъяснить технические требования к компаниям должны были документы ФСТЭК. В начале 2008 года служба выпустила четыре нормативных документа (известны как "четверокнижие") с подробными инструкциями по исполнению ФЗ-152. Но по факту они-то и создали противоречия. ФСТЭК всегда занималась охраной государственной тайны и по сути повторила в инструкциях режимные требования, предъявляемые к системам, обрабатывающим гостайну.

"Четверокнижие", например, предписывало устранять утечку информации по акустическому и виброакустическому каналам. То есть если в переговорной комнате идет совещание, где упоминаются персональные данные, предполагается, что за окном может подслушивать потенциальный нарушитель. Такую угрозу стоило устранять при помощи создания зашумления с помощью специальных приборов - например, пассивных акустических колонок. Сейчас подобные угрозы уже не считаются актуальными, но все компании должны использовать средства информационной безопасности, которые получили сертификат ФСТЭК: он подтверждает соответствие IТ-решений требованиям ФЗ-152.

Требования двух других регуляторов - Роскомнадзора и ФСБ, - на первый взгляд, не так архаичны. Однако они предполагают наличие в штате компании специалиста по защите персональных данных, способного разобраться в многостраничных регламентах и подготовить минимальный набор документации. Таких людей готовят лицензиаты ФСТЭК и ФСБ России, а также более 30 обучающих центров по всей России. Опытных специалистов немного - их можно искать в штате системных интеграторов или крупных операторов связи. Зарплаты - от 40 000 рублей.

Большинство компаний просто не выполняют требований закона. Примеров серьезных последствий неисполнения закона пока не было. Самая строгая мера, которая применялась к нарушителям, - штраф до 10 000 рублей. Поэтому для небольшой компании до сих пор выгоднее было вообще ничего не предпринимать в отношении ФЗ-152. Однако с 1 июля 2011 года последствия будут более серьезными - в случае проверки ФСТЭК и ФСБ компанию могут лишить права заниматься основным видом деятельности и оштрафовать на сумму до 500 000 рублей. Более того, законом предусмотрен арест собственника бизнеса, лишение его свободы на срок до 5 лет и исправительные работы сроком до года. "В качестве первоочередных мер мы рекомендуем компаниям изучить план проверок, размещенный на официальном сайте Генпрокуратуры. Это поможет понять сроки плановых проверок, которые могут грозить организации", - советует Михаил Башлыков, руководитель направления информационной безопасности компании КРОК.

Трудности исполнения

Одним из путей решения проблемы с ФЗ-152 может стать формирование отраслевых стандартов. Так, Центробанк совместно с банковским сообществом разработал стандарт Банка России, который полностью соответствует требованиям ФЗ-152 и значительно упрощает банкам его выполнение. К стандарту сегодня присоединились более 600 кредитных организаций - это более половины всех банков России. По оценке Артема Сычева, начальника управления информационной безопасности Россельхозбанка, работы по приведению в соответствие с требованиями стандарта могут стоить от 1,5 млн рублей. Продолжительность такого проекта - не менее 3 лет. Привлечение внешнего консультанта в этом случае предпочтительно, однако не исключена возможность реализовать проект силами самого банка. Как правило, это зависит от уровня рисков и объемов бизнеса. Ряд отраслевых сообществ (страховщики, телеком, медицина) уже пошли по пути разработки отраслевых стандартов.

По оценкам экспертов, готовы к началу проверок менее 1% компаний. И дело в самом законе. Власть не просто заставляет защищать персональные данные, а говорит, как именно это делать. Предлагаемые методы защиты не работают, но стоят больших денег. К тому же выполнение требований, которые не привязаны к актуальным рискам, неэффективно. Компании вынуждены покупать зачастую плохие решения, у которых, кроме сертификата ФСТЭК, нет никаких рыночных преимуществ. К сожалению, основным мотивом, толкающим компании на проведение работ, является не стремление улучшить защиту данных граждан, а желание пройти проверку регуляторов.

На 2011 год запланировано 2929 проверок.

Источник: Forbes Russia, Astera