Всероссийская конференция-семинар «Персональные данные» состоялась 24 сентября 2008 года и собрала большое количество участников и выступающих высокого профессионального уровня от государственных и коммерческих структур. Информация о конференции, подготовленная журналистами портала, размещена по ссылке: http://psj.ru/saver_magazins/detail.php?ID=12894

Настоящее исследование для Всероссийской конференции-семинара призвано выявить теку­щий уровень защищенности персональных данных в российских компаниях, а также отношение игро­ков рынка к законодательному регулированию. Для удобства полный текст отчета по результатам исследований разделен на три последовательные части. С разрешения авторов, предложили вниманию читателей первую часть отчета об исследовании. Вы можете прочитать ее по ссылке http://psj.ru/saver_magazins/detail.php?ID=13054

 Защищенность персональных данных практически идентична защищенности информа­ции, которая составляет коммерческую тайну. Из этого тезиса можно сделать два вывода: с одной стороны, российские компании осознают важность защиты персональных данных, с другой - осознание этого факта отнюдь не равноценно качествен­ной системе безопасности. В большинстве совре­менных предприятий защищенность персональных данных и защищенность сведений, которые состав­ляют коммерческую тайну, находятся на одинаково низком уровне.

Действительно, по данным другого исследования Perimetrix («Инсайдерские угрозы -  2008»), два наибо­лее действенных класса систем защиты - решения для шифрования данных в местах хранения и комплексные продукты по защите от утечек - имеют до­вольно низкое проникновение на российском рынке (36% и 24% соответственно). Все остальные системы безопасности занимаются защитой исключительно от внешних вторжений и потому не могут ничего по­делать с более опасными внутренними угрозами.

 В последнее время все большую актуальность стали приобретать гак называемые «партнерские утечки» персональных данных, которые допускаются «тре­тьими» компаниями. По данным Ponemon Institute, практически 40% мировых инцидентов возника­ют в результате ошибочных действий партнеров, аутсорсеров и, что особенно интересно, логисти­ческих вендоров. Последние компании довольно часто теряют носители с приватными данными во время транспортировки.

В нашей стране культура аутсорсинга пока еще далека от западной, и потому российская ситуа­ция с партнерскими утечками не так сложна. Две трети (64,3%) отечественных компа­ний не делятся своими персональными данными ни с кем и никогда, а еще 24,7% - разделяют информацию только с дочерними и материнскими структурами. И только 11,1% респондентов испытывают риски партнерских утечек по полной программе.

 В этом свете было бы логично рассказать о дру­гой проблеме, с которой сталкиваются 13,1% российских организаций. Именно эта часть ком­пании делится персональными данными с ино­странными организациями - материнскими ком­паниями или обычными партнерами. Вместе с тем согласно Федеральному закону «О персональных данных» делать это можно лишь с согласия вла­дельцев информации, которое технически невоз­можно получить.

 Как следствие, перед иностранными компаниями возникают масштабные ограничения на трансгра­ничную передачу персональных данных. Согласно букве закона, они не могут послать аудитора для проверки деятельности дочерней структуры, поскольку тот неизбежно получит доступ к персо­нальной информации российских граждан. Они не могут создавать общие дата-центры консоли­дированного хранения российских персональных данных и информации жителей из других стран. На­конец, они не могут обслуживать российских кли­ентов за границей, поскольку не имеют доступа к их персональной информации.

Получается типичный правовой коллапс - огра­ничения закона оказываются невыполнимыми, и потому они фактически не выполняются. При этом перед всеми иностранными компаниями возника­ют масштабные правовые и репутационные риски, которые в теории могут привести к сворачиванию бизнеса в России.

 С точки зрения российского законодательства ис­пользование персональных данных в отечественных организациях жестко зарегулировано. Основ­ным документом, регламентирующим меры защиты персональных данных, является одноименный фе­деральный закон, вступивший в действие 30 янва­ря 2007 года. За время, прошедшее с этого момен­та, закон практически не применялся на практике, однако в настоящее время наблюдаются серьезные предпосылки к изменению сложившейся ситуации.

Итак, что же представляет собой Федеральный за­кон «О персональных данных»? По сути, он явля­ется высокоуровневым набором концептуальных требований к защите персональной информации. Отдельно подчеркнем, что под действие федераль­ного закона попадают фактически все компании, которые имеют в своем составе хотя бы отдел ка­дров и бухгалтерию.

 В области защиты информации закон выдвигает са­мые общие требования, не опускаясь до конкретных деталей. Например, норматив гласит, что «оператор персональных данных обязан принимать необходимые организационные и технические меры... для защиты персональных данных от неправомер­ного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распро­странения персональных данных, а также от иных неправомерных действий». Конкретики в законе нет, и определять степень необходимости мер фак­тически должна каждая конкретная организация. Именно поэтому закон в его нынешнем виде почти невозможно применить на практике. Без более де­тальных требований («методичек») норматив прак­тически теряет смысл, оставаясь лишь набором об­щих рекомендаций.

 В ноябре 2007 года тогдашний премьер-министр России Виктор Зубков подписал специальное распоряжение («Положение об обеспечении безопас­ности персональных данных при их обработке в информационных системах персональных данных»), в рамках которого обязал уполномоченные органы (ФСБ и ФСТЭК) написать более детальные нормати­вы к федеральному закону к 18 февраля 2008 году. Нетрудно догадаться, что к обозначенной дате ни­каких нормативов не появилось.

Тем не менее, в июле 2008 года первый документ такого рода все-таки был опубликован прави­тельством РФ. Постановление № 512 содержит конкретизированные требования к «материаль­ным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных дан­ных». Конечно, этот документ не может покрыть все случаи, которые регулируются ФЗ, однако его публикацию можно расценивать как безусловный позитивный сдвиг.

 Публикация конкретизирующих нормативов яв­ляется не единственной попыткой правительства оживить фактически мертвый закон. В конце 2007 года стартовала разработка реестра операторов персональных данных, а также был назначен орган, ответственный за этот реестр (Россвязькомнадзор). Спустя четыре месяца представители регулятора объявили о создании реестра и призвали все российские компании внести туда свою информацию. На момент подготовки этого исследования в рее­стре содержались сведения о 17 тыс. операторов персональных данных.

Так или иначе, в течение последних 12 месяцев пра­вительство наконец-то стало проявлять хотя бы какую-то активность. Конечно, пока эта активность недостаточна для реального применения закона на практике, однако сама тенденция заставляет задуматься. По мнению экспертов аналитического центра Perimetrix, существует достаточно высокая вероятность резкого усиления нормативного прес­синга уже в ближайшие полтора-два года.

 Рост озабоченности российских компаний влиянием федеральною закона косвенно подтверждается собранной статистикой. Абсолютное большинство (79,7%) специалистов  уже пытались вникать в положения ФЗ и задумывались о его возможном влиянии на бизнес. Оставшиеся 20,3% респондентов имеют о законе смутное представление либо вовсе с ним не знакомы.

 Пятая часть (20,3%) респондентов предполагает, что их компания полностью удовлетво­ряет требованиям закона. Весьма смелое утверж­дение, особенно если учесть туманность и раз­мытость этих требований. В каждом конкретном случае трактовка положений ФЗ может произво­диться по-разному и до появления конкретизирую­щих нормативов заявлять о полном соответствии почти бессмысленно. Вместе с тем более половины специалистов честно признают, что их компании выполняют не все требования закона (46,3%) либо не выполняют их вовсе (11,1%). Для достижения соответствия этим компа­ниям придется инвестировать средства в развитие системы информационной безопасности.

 Основным препятствием на пути соответствия за­кону является нечеткость и размытость его положений - эту проблему отметили почти 35% респондентов. Как и всегда, весьма актуальными трудностями являются бюджетные ограничения, а также отсутствие квалифицированных специали­стов - каждый из этих пунктов набрал примерно по 20% голосов. Остальные сдерживающие факторы, по-видимому, не являются серьезной проблемой для большинства организаций.

В общем и целом, операторы персональных данных готовы добиться соответствия федеральному закону, однако они не могут понять, как именно это можно сделать. Медлительность чиновников оказывает не­гативное влияние и на вендоров систем защиты, ко­торые теряют ориентиры при разработке защитных продуктов. Можно с уверенностью утверждать, что работающий федеральный закон нужен не только для защиты владельцев ПД, но и для развития рынка информационной безопасности в целом.

 Более того, участники рынка считают важным не только выполнять положения ФЗ в их нынешнем виде (при условии публикации конкретизирующих документов), но и даже усиливать их в целях защи­ты владельцев персональных данных. В частности, практически две трети (65,3%) респондентов уве­рены, что требование об обязательном разглашении информации об утечках ПД должно быть включено в федеральный закон. Такое требо­вание, уже прописанное в законодательствах ряда развитых западных странах, значительно увеличит ущерб компаний в результате каждой утечки информации. А значит - заставит уделять безопасно­сти большее внимание и повысит роль подразделений, которые за нее отвечают.

В таком, разрезе полученные результаты не удивля­ют - любой специалист хочет увеличить свое влияние и значимость в жизни компании. Это означает, что требование «обязательного разглашения» рано или поздно появится в федеральном законе. Фак­тически оно выгодно всем участникам рынка - и регулятору (усиление нормативного прессинга), и специалистам по безопасности (усиление внутрикорпоративной роли), и непосредственным владельцам персональных данных (усиление защищенности). Оно невыгодно лишь владельцам и инвесторам компаний, однако лагерь противников достаточно немногочислен.

 Резюмируя все вышесказанное, легко прийти к выводу о растущем влиянии федерального закона в сравнении с другими регулирующими документами. Этот закон уже сейчас является более значимым документом, чем все остальные нормативные акты, и в том числе и отраслевые стандарты. В будущем, по мере конкретизации требований закона, его влияние на бизнес только увеличится.

Впрочем, преуменьшать значение других докумен­тов также не стоит. В отличие от федерального за­кона (под действия которого подпадают едва ли не все организации) они имеют ограниченную область применения и иногда - необязательный характер. Однако требования таких нормативов как, «Базовый уровень операторов связи», стандарт Банка России «СТО БР ИББС» или стандарт PCI DSS, можно реализовать уже сегодня. Как следствие, некоторые компании рассматривают именно эти документы в качестве дорожной карты для создания корпора­тивной системы безопасности.

 (Окончание следует)