Глухая защита

Нормы закона «О персональных данных» неэффективны. Для обеспечения конфиденциальности личных сведений необходимо вводить систему предупреждения утечек и механизм финансовых гарантий. 

1 января деятельность подавляющего большинства коммерческих и государственных организаций может быть парализована: вступят в силу самые жесткие пункты закона «О персональных данных», касающиеся защиты личной информации. Требования этого документа еще год назад (закон должен был заработать 1 января 2010-го) вызвали большой резонанс и конфликты между сторонами процесса - контролирующими органами, субъектами, операторами персональных данных и поставщиками средств защиты информации. Если бы правительство и Госдума не приняли тогда решение о переносе, страна попала бы в ситуацию массового неисполнения закона: в конце 2009 года об обработке персональных данных Роскомнадзор уведомили не более 5% операторов.

Бизнес и госучреждения восприняли перенос двояко. «Во-первых, все подумали, что нормы будут смягчены, а во-вторых, - что это не последний перенос», - говорит депутат городской думы Екатеринбурга Леонид Волков. За год некоторые пункты закона действительно были доработаны или исключены из текста. Однако, как замечает независимый эксперт в сфере информбезопасности Николай Ревизцев, особого облегчения это не принесло: «Закон по-прежнему требует обеспечить защиту персональных данных не хуже, чем гостайны».

За семью печатями
Для начала определимся с основополагающими понятиями. Персональные данные - это любая информация, относящаяся к определенному физическому лицу, в том числе его фамилия, имя и отчество, адрес, год, месяц, дата и место рождения, социальное, семейное и имущественное положение, профессия, образование, доходы и т.д. Все учреждения, которые обрабатывают эти сведения в электронном виде, законом определены как операторы персональных данных. С нового года они обязаны в полном объеме выполнить мероприятия по защите информации.

Средства, которыми должны пользоваться организации, делятся на два вида. Первые защищают от несанкционированного доступа. Это системы разграничения доступа к информации, антивирусная защита, межсетевые экраны, средства блокировки устройств ввода-вывода информации, криптографические средства и т.п. Вторые - от утечки по техническим каналам: это использование экранированных кабелей, установка высокочастотных фильтров на линии связи, установка активных систем зашумления и т.д. Объем и сложность средств определяется исходя из классификации систем (см. справку).

Закон определяет три контролирующих органа. Первый - Роскомнадзор. Он отвечает за принятие уведомлений о том, что какая-то организация намерена заниматься обработкой персональных данных, а также за рассмотрение жалоб и подготовку документов в суд. Второй - Федеральная служба по техническому и экспортному контролю (ФСТЭК). Ее поле деятельности - техническая защита информации. Третий орган - ФСБ: зона ответственности - обработка данных с использованием средств криптографической защиты (шифрование, электронная цифровая подпись). Соответственно все мероприятия согласовываются с тремя ведомствами. Средства защиты должны быть сертифицированы ФСТЭК. По словам Николая Ревизцева, в нормативной базе неявно осталось требование лицензирования деятельности по технической защите конфиденциальной информации. Предприятиям необходима лицензия на эксплуатацию шифровальных криптографических средств. Не говоря уже о письменном разрешении человека на обработку его данных.

Также закон предписывает организациям обязательно иметь в штате сотрудников с профильным образованием (например, кафедра информбезопасности) или прошедших 72-часовые курсы переподготовки по согласованной ФСТЭК и ФСБ программе.

Утекай

Идея о защите персональных данных сама по себе позитивна. Однако ее реализация вызывает множество вопросов. По сути, закон ставит операторов персональных данных в полную зависимость от ведомств. Они проводят классификацию информационных систем, определяют возможные каналы утечки информации, методы и способы защиты, а также достаточность принятых мер. Леонид Волков: «Требования по защите информации, содержащиеся в законе о персональных данных, в принципе ничего дикого не предполагают. Проблема в том, что для подтверждения безопасности придется идти в Роскомнадзор, ФСТЭК, ФСБ и получать соответствующие бумажки.

А это, во-первых, долго, во-вторых, чревато серьезной коррупционной составляющей». Если грубо прикинуть, сколько времени необходимо на аудит системы, анализ угроз, определения класса, сертификацию, получится минимум год.

Необходимость сертификации средств защиты ведет сразу к нескольким негативным моментам. Во-первых, сужается выбор софта и одновременно повышается его цена. Николай Ревизцев: «Вендоры с мировым именем очень неохотно открывают исходный код своего программного обеспечения. Активно это делает разве что Microsoft, который не хочет потерять российский рынок. После прохождения сертификации стоимость софта сразу увеличивается относительно нелегитимных конкурентов».

Во-вторых, оперативность обновления средств обработки информации не позволяет столь же оперативно осуществлять сертификацию этих средств. В-третьих, сертифицированные средства защиты информации не всегда возможно интегрировать с другим софтом.

Еще один явный минус закона - отсутствие разграничения операторов на классы и следующая за этим явная избыточность и дороговизна средств. Если следовать букве закона, то получается, что, например, детские сады или школы должны защищаться по последнему слову техники только сертифицированными средствами, потому что в их системах содержится информация о национальности и здоровье человека. Грубо говоря, зачастую информация ценой в десять рублей стоит тысячу. Еще год назад ИТ-специалисты Екатеринбурга подсчитали, что для обеспечения безопасности информационной системы городского управления здравоохранения потребуется 200 млн рублей, управления образования - в несколько раз больше. В бюджете таких средств нет.

Третий негативный момент - запутанность законодательства о персональных данных. Помимо основного ФЗ существует еще 19 нормативных актов, регламентирующих работу операторов.
Еще один промах - ориентированность закона на внешние угрозы, в то время как наибольшую опасность для компании представляют инсайдеры.

При этом к реальному повышению защищенности систем исполнение норм закона зачастую не приводит. Начальник службы информационной безопасности Банка24.ру Андрей Ерин:

- Основные пункты закона мы выполнили в ходе внедрения системы управления информационной безопасностью, основанной на международном стандарте ISO 27001. Конечно, есть специфичные требования, применяемые только в России. Сертификация средств защиты информации и аттестация сегментов сети потребовали дополнительных вложений. Но банк пошел на эти затраты, хотя они не добавили реальной защищенности.

- Меры закона безопасность реально не повышают, - добавляет Леонид Волков. - Все заканчивается обкладыванием бумажками. Твоя система считается защищенной, если ты получил согласование трех органов. Для тебя как владельца базы данных не создается никаких стимулов делать ее безопасной, кроме проверки ФСБ. Кроме того, есть такая теорема: для любой базы данных, содержащей персональные данные и отвечающей на статистические вопросы, существует последовательность запросов, позволяющая извлечь личные сведения. Так что полная защита - понятие эфемерное.

Не тот стимул

Но основная проблема закона лежит глубже - в главенстве априорных методов над апостериорными. На наш взгляд, закону нужны фундаментальные изменения. Необходимо задекларировать, что утечки неизбежны, и сконцентрироваться на эффективном механизме поиска и наказания виноватых. Если обратиться к европейскому опыту, то законодатель там не регламентирует средства защиты. Он установил крайне жесткие наказания за утечку. В России же пошли по обратному пути. По словам Леонида Волкова, такой подход неэффективен: «Априорными методами можно защититься в лучшем случае от 99% угроз. Чтобы поднять эту цифру до 99,9% нужно вложить в сотни раз больше средств, а шаг от 99,9 до 100% при таком подходе нереален».

Возможно, имеет смысл внедрить механизм финансовых гарантий, а для этого присвоить каждому классу систем определенную страховую стоимость (за госучреждения будет отвечать государство).

Разумным кажется перевод операторской деятельности на саморегулирование с созданием компенсационного фонда и коллективной ответственностью операторов.

- Весьма вероятно, что закон снова будет пересмотрен, - замечает Николай Ревизцев. - В европейских странах практика защиты персональных данных имеет длительную историю, в течение которой законодательная база успела устояться. Мы же в 2001 году подписали Конвенцию Совета Европы, взяв на себя обязательства по приведению в соответствие с нормами европейского законодательства деятельности в области защиты прав субъектов персональных данных. Стремясь стать частью большой европейской семьи, Россия явно поторопилась с рождением закона. Отсутствие времени на глубокую переработку недостаточного на тот период материала, а также сложности с быстрым достижением консенсуса между ведомствами не могли не сказаться на результате. Если пересмотра не случится, то почти наверняка нормы будут облегчены ведомственными положениями. Например, уже сейчас есть стандарт Центробанка, согласованный с ФСБ, в который внесены требования по информбезопасности. И коммерческие кредитные учреждения могут выбирать, под чью юрисдикцию уходить. Похожие документы разрабатываются в Минздравсоцразвития, Минобразования. При этом я не исключаю, что в ближайшем будущем мы увидим несколько показательных порок. Наверняка регулятор выберет какого-либо крупного оператора и публично его накажет, чтобы другим неповадно было (санкции довольно болезненные - вплоть до приостановки лицензии на три месяца).

На наш взгляд, несмотря на публичные порки, добиться исполнения закона со стороны всех организаций не удастся. В октябре депутаты Госдумы забили тревогу, инициировав новые поправки, которые переносят возможность наложения санкций на 1 января 2012 года. Как и год назад, страна оказалась не готова к закону о персональных данных.

Дополнительные материалы:

Классификация информационных систем персональных данных (ИСПДн)

ИСПДн классифицируется исходя из нескольких факторов.
Первый - категория обрабатываемой информации:
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные.

Второй фактор - масштаб ИСПДн. По объему обрабатываемых персональных данных (количество субъектов, персональные данные которых обрабатываются в информационной системе) ИСПДн делятся на три подкласса:
1) в информационной системе одновременно обрабатываются персональные данные более чем 100 тыс. субъектов или персональные данные населения субъекта РФ или России в целом;
2) в информационной системе одновременно обрабатываются персональные данные от тысячи до 100 тыс. субъектов или персональные данные субъектов, работающих в отрасли экономики РФ, в органе госвласти, проживающих в пределах муниципального образования;
3) в информационной системе одновременно обрабатываются данные менее чем тысячи субъектов или персональные данные субъектов в пределах конкретной организации.
По заданным оператором характеристикам безопасности обрабатываемой информации ИСПДн подразделяются на типовые и специальные. От типовых требуется только обеспечение конфиденциальности данных, от специальных - дополнительно защищенность от уничтожения и/или изменения, и/или блокирования, а также иных несанкционированных действий. Под категорию специальных ИСПДн попадают, например, базы больниц и всех учреждений, в которых хранится информация о здоровье субъекта.

Типовым ИСПДн присваиваются следующие классы:
К1 - информационные системы, для которых нарушение конфиденциальности может привести к значительным негативным последствиям для субъектов персональных данных;
К2 - информационные системы, для которых нарушение конфиденциальности может привести к негативным последствиям для субъектов персональных данных;
К3 - информационные системы, для которых нарушение конфиденциальности может привести к незначительным негативным последствиям для субъектов персональных данных;
К4 - информационные системы, для которых нарушение конфиденциальности не приводит к негативным последствиям для субъектов персональных данных.

Таблица определения класса типовой ИСПДн