В сентябре в Сочи прошла VIII всероссийская конференция «Обеспечение информационной безопасности. Региональные аспекты», организованная «Академий информационных систем» (учебный центр холдинга «Стинс Коман») при поддержке 17 министерств и ведомств.
Что касается «региональных аспектов», упомянутых в названии мероприятия, то в действительности они не получили глубокого отображения, по крайней мере в официальных докладах. Впрочем, этого следовало ожидать: сегодня если не всех, то многих специалистов по информационной безопасности, СЮ и топ-менеджеров заботит одна общая и для Москвы, и для регионов проблема — неумолимое приближение 1 января 2010 года, даты вступления в силу санкций за нарушения либо ненадлежащее выполнение требований, установленных Федеральным законом № 152 «О персональных данных». Именно вокруг персональных данных (ПДн) почти все и вертелось.
Понятно, что обсуждение столь актуальной темы привлекло внимание ведомств, курирующих данное направление: участие в разговоре приняли представители Федеральной службы безопасности, Федеральной службы по техническому и экспортному контролю и Федеральной службы по надзору в сфере связи и массовых коммуникаций. И даже выступили с докладами. Однако ничего такого, что могло бы обнадежить собравшихся, а значит, и всех операторов персональных данных, в этих докладах не прозвучало. То есть не стоит ждать никаких переносов сроков вступления в силу названных санкций, предусматривающих в том числе и уголовную ответственность.
В то же время чиновники признали, что предусмотренная законом «система» персональных данных выстроена не идеально. Тем не менее она, по словам начальника управления по защите прав субъектов персональных данных Роскомнадзора Ларисы Васильевой, работает: операторы ПДн проходят проверки, а по особо сложным моментам служба выдает им рекомендации. Однако заинтересованные органы власти призвали операторов персональных данных готовиться к проверкам, а также к сотрудничеству в деле совершенствования законодательства в области персональных данных. Г-жа Васильева подтвердила: ситуация требует принятия в этой сфере мер правового, организационного и финансового характера.
Кстати, на конференции в Сочи чиновники смогли увидеть и общую картину отношения операторов ПДн к закону «О персональных данных». Ее представили компания «Стинс Коман» и портал SecurityLab.ru, которые в течение двух месяцев опросили 406 операторов персональных данных (всего же их в России порядка 7 млн). Среди них 24% — представители телекоммуникационных компаний, 14% — банковского сектора, 2% — страхового, а еще 60% оказались «другими». 53% респондентов отметили, что строят или хотят построить реально работающую систему защиты ПДн (в названных сегментах такой ответ дали соответственно 60, 56 и 60% опрошенных). В то же время почти треть (29%) заявили, что выполнят требования формально, «для галочки» (чаще других такой подход продемонстрировали банки — 34%). Еще 18% опрошенных (из них 20% — страховщики) указали, что их не особо беспокоят требования законодательства.
Стоит отметить, что больше половины респондентов основными проблемами, препятствующими выполнению требовании ФЗ № 152, назвали «непонятные, непрозрачные требования законодательства» (37%) и недостаток квалифицированных кадров (18%). Тем не менее 53% опрошенных заявили, что заниматься созданием систем защиты ПДн будут самостоятельно. Значительно меньше, всего 8%, намерены отдать это дело на аутсорсинг IT-компаниям, остальные же собираются задействовать и собственные силы, и сторонних консультантов.
О категории «другие». Ее составили, как уже было сказано, 60% опрошенных. В реальности же «других» наберется более 90% от общего числа операторов персональных данных. Дело в том, что многие компании и организации даже не относят себя к их числу: ведь если в компании обрабатывается кадровая информация, информация о зарплате, то такая фирма автоматически относится к операторам персональных данных. Причем зачастую кадровые и финансовые системы таких организаций можно отнести даже ко второй категории персональных данных. Этот момент особо отметил первый заместитель начальника Центра ФСБ России Александр Баранов, который подчеркнул, что в большинстве случаев компании хранят у себя избыточные персональные данные, абсолютно им ненужные.
В качестве примера можно привести образовательную сферу. Одно дело, когда у образовательного учреждения имеется база данных обучаемых — в таком случае у школы или вуза система персональных данных будет относиться к четвертой или третьей категории. Однако если там хранятся еще и данные о финансовом состоянии родителей учеников, об их здоровье, то это автоматом повышает уровень системы ПДн до второго класса.
Впрочем, тот же г-н Баранов всех призвал не паниковать. Зачастую проблема решается довольно просто: за счет удаления избыточной информации, отключения компьютеров кадровой и финансовой служб от Сети, выполнения ряда организационно- административных шагов. Речь идет, в частности, о назначении ответственного за систему ПДн, определении правил доступа к персональным данным и т. п.
Тема персональных данных была в центре обсуждения и на трех из пяти рабочих секций. На одной из них разговор носил обший характер. Здесь, кстати, прозвучало одно из предложений по созданию отраслевых требований по защите персональных данных, и речь шла о телекоммуникационном бизнесе. Так, директор по проектам департамента технологической безопасности компании МТС Павел Сундеев заявил, что концепция формирования требований по защите ПДн основана на «старом» научно-методическом подходе и не адекватна существующей международной практике. По его словам, операторы ПДн, втом числе в МТС, имея сложные распределенные информационные системы с высоким уровнем использования иностранного программно-аппаратного обеспечения, новых информационных технологий, не способны выполнить завышенные требования по защите информации. Международная же практика, предполагая обязательные требования к операторам ПДн по выполнению прав субъектов ПДн, не регламентирует внедрение операторами ПДн новых информационных технологий и механизмов зашиты. То есть главное — защитить права граждан, а каким образом — не суть важно.
Одной критикой МТС не ограничилась, выдвинув ряд предложений по решению проблемы: среди них подготовка и внесение на рассмотрение Госдумы РФ законопроекта о пролонгации срока приведения ИСПДн в соответствие с законом «О персональных данных» до 1 января 2012 года; гармонизация российского законодательства с международными стандартами в области обработки и защиты ПДн; создание добровольной системы сертификации средств защиты информации и ИСПДн для негосударственных систем; выполнение Н И Р по разработке общих, специальных и отраслевых нормативных и методических документов по защите ПДн.
По словам г-на Сундеева, операторы большой тройки уже занялись подготовкой проектов отраслевых нормативных документов по защите ПДн в ИСПДн операторов связи — в ходе разработки концепции защиты персональных данных в информационных системах персональных данных операторов связи. Результаты этой научно-исследовательской работы компании собираются представить на рассмотрение научно-технического совета Минкомсвязи России.
Сказала свое слово и Ассоциация российских банков. Суть ее предложений по данному направлению сводится к исключению из сферы действия закона «О персональных данных» деятельности кредитных организаций, предусмотренной генеральной лицензией на осуществление банковских операций, а также к определению деятельности банков по обработке ПДн как не требующей согласия субъекта персональных данных. Последнее предложение Лариса Васильева публично назвала недопустимым. По ее мнению, помимо очевидных проблем с адекватной защитой прав и свобод граждан, создается потенциальная угроза широкомасштабной утечки ПДн в ходе осуществления кредитными организациями международной деятельности, в том числе трансграничной передачи персональных данных.
На заседании другой «персональной» секции обсуждались аспекты технической реализации требований Федерального закона «О персональных данных». Как не сложно догадаться, здесь главную роль играли представители компаний, предлагающих решения в области защиты информации. А суть их выступлений проста: представление продуктов, пригодных для защиты ПДн, и способы их применения.
В отдельную секцию были выделены выступления, посвященные отраслевым особенностям реализации положений ФЗ № 152. По иронии судьбы или «недосмотру» организаторов, о своих отраслевых особенностях рассказали представители телекоммуникационного, финансового и страхового рынков. Участники двух других секций поднимали вопросы научной деятельности в сфере информационной безопасности, обеспечения безопасности при реализации проектов по разработке свободного программного обеспечения.
В заключение конференции все же нашлось время для освещения некоторых региональных аспектов. Опытом реализации проектов в области информационной безопасности поделились представители компаний из Республики Ингушетия, Дальневосточного и Северо-Западного федеральных округов и города Сочи.
ITnews 19 (138) 3 ноября 2009