Закон отложен – проблема осталась
АрхивБлог Натальи Касперской, InfoWatchЧто произойдет после вступления в силу закона "О персональных данных"? Наталья Касперская беседовала с десятками компаний, обрабатывающих персональные данные. Большинство честно отвечало – будем откупаться.
Срок приведения некоторых информационных систем в соответствие с законом "О персональных данных" был отложен Государственной Думой ещё на один год. Таким образом, волна страха перед проверками, которые должны были начаться с января 2010, немного отхлынула. У нас ведь как – завтра не надо внедрять, значит, сегодня можно поспать. Хотя проверки предприятий на предмет защиты персональных данных начались ещё весной 2009-го, и на 2010-й их запланировано немало.
Между тем, у Госдумы были серьёзные причины для переноса срока. Кроются они как внутри самого закона, так и вне его. Внутренние причины: закон крайне неопределённо трактует действия, которые необходимо совершить для того, чтобы ему соответствовать. А это, в свою очередь, создает огромные проблемы для субъектов данного закона. Ведь как сейчас трактуется необходимость соответствия? Есть персональные данные – иди к сертифицированному интегратору, пусть он тебе наладит процессы. Вы можете себе представить, как большинство российских компаний (по некоторым оценкам, операторов ПД в РФ до трёх миллионов!) ломанутся к избранным (малому числу) интеграторам, чтобы "налаживать процессы"? Да гораздо проще просто откупиться, благо, штрафы небольшие. Мы разговаривали с десятками компаний, обрабатывающих персональные данные. Многие из них - крупные игроки российской экономики. На вопрос, как они собираются соответствовать закону, большинство честно отвечало – будем откупаться.
Заметим себе, что подобные законы существуют в Европе (например, испанский LOPD – Ley Orgánica de Protección de Datos; директива ЕС Data Protection Directive; австрийский федеральный акт о защите персональных данных Datenschutzgesetz 2000 и другие) и в Штатах (знаменитый Сарбанес-Оксли). Для соответствия законам там, как правило, просто требуется установить у себя систему, которая бы защищала предприятие от утечек или обеспечивала определённый уровень ИБ. Это – прозрачный и ясный подход. Покупаешь систему рекомендованного класса (не вендора!) – и получаешь сертификат соответствия.
В нашем случае всё сложнее. Закупка системы определенного класса не является достаточным и даже необходимым условием "соответствия". Более того, закон вообще не устанавливает перечня обязательных средств защиты. А, например, системы борьбы с утечками (DLP-системы) было бы логично сделать обязательными для высшей категории данных. Кстати сказать, 11 декабря во втором чтении приняты поправки к 152-ФЗ, исключающие шифрование из списка обязательных методов защиты. Что остается? Антивирусная защита? Мне, как антивирусному вендору, это приятно, но для решения проблемы персональных данных антивирус помогает весьма опосредованно.
Почему в подзаконные акты не включили специализированные средства борьбы с утечками? Не знаю. То ли законодатели о них не знали, то ли не сочли их достаточно эффективными, то ли просто DLP-вендоры не участвовали в законотворчестве по данному вопросу и не связаны соответствующими отношениями с государственными "регуляторами".
Чтоб закон "О персональных данных" работал, лучше всего было бы его переписать заново. В нынешнем виде он принуждает операторов не защищать данные, а исполнять требования государственных органов. Устанавливает наказания не за утечки данных и не за ущерб субъектам ПД, а за неисполнение ведомственных приказов. Это создает почву для злоупотреблений, но не помогает решать проблему. Можно предсказывать, что данные будут продолжать утекать.
Кроме того, объём защищаемых данных и строгость мер защиты необычайно завышены. Сверх всяких разумных потребностей. Исполнение требований снижает риски на копейки (где вообще снижает), а вложений требует на миллионы. Имеет смысл посмотреть на опыт США, где с персональными данными мошенничают очень давно, с 1960-х. Там применяется подход, в чём-то противоположный европейскому (и, соответственно, российскому). В Европе ПД определены максимально широко, все они подлежат защите "на всякий случай", а для некоторых сделаны исключения. А в США явным образом перечислены данные, надежно защищать которые обязательно. Это те, при помощи которых можно реально украсть деньги: номера банковских карт, номера соцстрахования, пароли к банковским аккаунтам и некоторые другие виды ПД. Мне кажется, что этот подход, как минимум, требует изучения.