Всероссийская конференция-семинар «Персональные данные» состоялась 24 сентября 2008 года и собрала большое количество участников и выступающих высокого профессионального уровня от государственных и коммерческих структур. Информация о конференции, подготовленная журналистами портала, размещена по ссылке: http://psj.ru/saver_magazins/detail.php?ID=12894
Настоящее исследование для Всероссийской конференции-семинара призвано выявить текущий уровень защищенности персональных данных в российских компаниях, а также отношение игроков рынка к законодательному регулированию. Для удобства полный текст отчета по результатам исследований разделен на три последовательные части. С разрешения авторов, предложили вниманию читателей первую часть отчета об исследовании. Вы можете прочитать ее по ссылке http://psj.ru/saver_magazins/detail.php?ID=13054
Защищенность персональных данных практически идентична защищенности информации, которая составляет коммерческую тайну. Из этого тезиса можно сделать два вывода: с одной стороны, российские компании осознают важность защиты персональных данных, с другой - осознание этого факта отнюдь не равноценно качественной системе безопасности. В большинстве современных предприятий защищенность персональных данных и защищенность сведений, которые составляют коммерческую тайну, находятся на одинаково низком уровне.
Действительно, по данным другого исследования Perimetrix («Инсайдерские угрозы - 2008»), два наиболее действенных класса систем защиты - решения для шифрования данных в местах хранения и комплексные продукты по защите от утечек - имеют довольно низкое проникновение на российском рынке (36% и 24% соответственно). Все остальные системы безопасности занимаются защитой исключительно от внешних вторжений и потому не могут ничего поделать с более опасными внутренними угрозами.
В последнее время все большую актуальность стали приобретать гак называемые «партнерские утечки» персональных данных, которые допускаются «третьими» компаниями. По данным Ponemon Institute, практически 40% мировых инцидентов возникают в результате ошибочных действий партнеров, аутсорсеров и, что особенно интересно, логистических вендоров. Последние компании довольно часто теряют носители с приватными данными во время транспортировки.
В нашей стране культура аутсорсинга пока еще далека от западной, и потому российская ситуация с партнерскими утечками не так сложна. Две трети (64,3%) отечественных компаний не делятся своими персональными данными ни с кем и никогда, а еще 24,7% - разделяют информацию только с дочерними и материнскими структурами. И только 11,1% респондентов испытывают риски партнерских утечек по полной программе.
В этом свете было бы логично рассказать о другой проблеме, с которой сталкиваются 13,1% российских организаций. Именно эта часть компании делится персональными данными с иностранными организациями - материнскими компаниями или обычными партнерами. Вместе с тем согласно Федеральному закону «О персональных данных» делать это можно лишь с согласия владельцев информации, которое технически невозможно получить.
Как следствие, перед иностранными компаниями возникают масштабные ограничения на трансграничную передачу персональных данных. Согласно букве закона, они не могут послать аудитора для проверки деятельности дочерней структуры, поскольку тот неизбежно получит доступ к персональной информации российских граждан. Они не могут создавать общие дата-центры консолидированного хранения российских персональных данных и информации жителей из других стран. Наконец, они не могут обслуживать российских клиентов за границей, поскольку не имеют доступа к их персональной информации.
Получается типичный правовой коллапс - ограничения закона оказываются невыполнимыми, и потому они фактически не выполняются. При этом перед всеми иностранными компаниями возникают масштабные правовые и репутационные риски, которые в теории могут привести к сворачиванию бизнеса в России.
С точки зрения российского законодательства использование персональных данных в отечественных организациях жестко зарегулировано. Основным документом, регламентирующим меры защиты персональных данных, является одноименный федеральный закон, вступивший в действие 30 января 2007 года. За время, прошедшее с этого момента, закон практически не применялся на практике, однако в настоящее время наблюдаются серьезные предпосылки к изменению сложившейся ситуации.
Итак, что же представляет собой Федеральный закон «О персональных данных»? По сути, он является высокоуровневым набором концептуальных требований к защите персональной информации. Отдельно подчеркнем, что под действие федерального закона попадают фактически все компании, которые имеют в своем составе хотя бы отдел кадров и бухгалтерию.
В области защиты информации закон выдвигает самые общие требования, не опускаясь до конкретных деталей. Например, норматив гласит, что «оператор персональных данных обязан принимать необходимые организационные и технические меры... для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». Конкретики в законе нет, и определять степень необходимости мер фактически должна каждая конкретная организация. Именно поэтому закон в его нынешнем виде почти невозможно применить на практике. Без более детальных требований («методичек») норматив практически теряет смысл, оставаясь лишь набором общих рекомендаций.
В ноябре 2007 года тогдашний премьер-министр России Виктор Зубков подписал специальное распоряжение («Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»), в рамках которого обязал уполномоченные органы (ФСБ и ФСТЭК) написать более детальные нормативы к федеральному закону к 18 февраля 2008 году. Нетрудно догадаться, что к обозначенной дате никаких нормативов не появилось.
Тем не менее, в июле 2008 года первый документ такого рода все-таки был опубликован правительством РФ. Постановление № 512 содержит конкретизированные требования к «материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Конечно, этот документ не может покрыть все случаи, которые регулируются ФЗ, однако его публикацию можно расценивать как безусловный позитивный сдвиг.
Публикация конкретизирующих нормативов является не единственной попыткой правительства оживить фактически мертвый закон. В конце 2007 года стартовала разработка реестра операторов персональных данных, а также был назначен орган, ответственный за этот реестр (Россвязькомнадзор). Спустя четыре месяца представители регулятора объявили о создании реестра и призвали все российские компании внести туда свою информацию. На момент подготовки этого исследования в реестре содержались сведения о 17 тыс. операторов персональных данных.
Так или иначе, в течение последних 12 месяцев правительство наконец-то стало проявлять хотя бы какую-то активность. Конечно, пока эта активность недостаточна для реального применения закона на практике, однако сама тенденция заставляет задуматься. По мнению экспертов аналитического центра Perimetrix, существует достаточно высокая вероятность резкого усиления нормативного прессинга уже в ближайшие полтора-два года.
Рост озабоченности российских компаний влиянием федеральною закона косвенно подтверждается собранной статистикой. Абсолютное большинство (79,7%) специалистов уже пытались вникать в положения ФЗ и задумывались о его возможном влиянии на бизнес. Оставшиеся 20,3% респондентов имеют о законе смутное представление либо вовсе с ним не знакомы.
Пятая часть (20,3%) респондентов предполагает, что их компания полностью удовлетворяет требованиям закона. Весьма смелое утверждение, особенно если учесть туманность и размытость этих требований. В каждом конкретном случае трактовка положений ФЗ может производиться по-разному и до появления конкретизирующих нормативов заявлять о полном соответствии почти бессмысленно. Вместе с тем более половины специалистов честно признают, что их компании выполняют не все требования закона (46,3%) либо не выполняют их вовсе (11,1%). Для достижения соответствия этим компаниям придется инвестировать средства в развитие системы информационной безопасности.
Основным препятствием на пути соответствия закону является нечеткость и размытость его положений - эту проблему отметили почти 35% респондентов. Как и всегда, весьма актуальными трудностями являются бюджетные ограничения, а также отсутствие квалифицированных специалистов - каждый из этих пунктов набрал примерно по 20% голосов. Остальные сдерживающие факторы, по-видимому, не являются серьезной проблемой для большинства организаций.
В общем и целом, операторы персональных данных готовы добиться соответствия федеральному закону, однако они не могут понять, как именно это можно сделать. Медлительность чиновников оказывает негативное влияние и на вендоров систем защиты, которые теряют ориентиры при разработке защитных продуктов. Можно с уверенностью утверждать, что работающий федеральный закон нужен не только для защиты владельцев ПД, но и для развития рынка информационной безопасности в целом.
Более того, участники рынка считают важным не только выполнять положения ФЗ в их нынешнем виде (при условии публикации конкретизирующих документов), но и даже усиливать их в целях защиты владельцев персональных данных. В частности, практически две трети (65,3%) респондентов уверены, что требование об обязательном разглашении информации об утечках ПД должно быть включено в федеральный закон. Такое требование, уже прописанное в законодательствах ряда развитых западных странах, значительно увеличит ущерб компаний в результате каждой утечки информации. А значит - заставит уделять безопасности большее внимание и повысит роль подразделений, которые за нее отвечают.
В таком, разрезе полученные результаты не удивляют - любой специалист хочет увеличить свое влияние и значимость в жизни компании. Это означает, что требование «обязательного разглашения» рано или поздно появится в федеральном законе. Фактически оно выгодно всем участникам рынка - и регулятору (усиление нормативного прессинга), и специалистам по безопасности (усиление внутрикорпоративной роли), и непосредственным владельцам персональных данных (усиление защищенности). Оно невыгодно лишь владельцам и инвесторам компаний, однако лагерь противников достаточно немногочислен.
Резюмируя все вышесказанное, легко прийти к выводу о растущем влиянии федерального закона в сравнении с другими регулирующими документами. Этот закон уже сейчас является более значимым документом, чем все остальные нормативные акты, и в том числе и отраслевые стандарты. В будущем, по мере конкретизации требований закона, его влияние на бизнес только увеличится.
Впрочем, преуменьшать значение других документов также не стоит. В отличие от федерального закона (под действия которого подпадают едва ли не все организации) они имеют ограниченную область применения и иногда - необязательный характер. Однако требования таких нормативов как, «Базовый уровень операторов связи», стандарт Банка России «СТО БР ИББС» или стандарт PCI DSS, можно реализовать уже сегодня. Как следствие, некоторые компании рассматривают именно эти документы в качестве дорожной карты для создания корпоративной системы безопасности.
(Окончание следует)