Про персональних даних
Вступ
У далекому 2006 році в Росії був прийнятий закон № 152 ФЗ «ПРО персональних даних». Не буде перебільшенням сказати, що даний закон є найсильнішим чинником впливу на ринок інформаційної безпеки в Росії за всю історію його (ринку) існування. Справа в тому, що цим законом держава фактично вперше зажадало від бізнесу виконувати які-небудь норми щодо захисту інформації. Звичайно, держава і раніше вимагало дотримання певних стандартів у цій галузі. Існує система контролюючих і видають ліцензії органів (наприклад, ФСТЕК і ФСБ), працюють маса виробників і інтеграторів в області «державної» захисту інформації.
Що нового
Найголовнішою особливістю прийнятого закону є те, що раніше ці вимоги не ставилися абсолютно до всіх бізнес-структур Росії. Вимоги щодо захисту державної таємниці природно відносяться тільки до тих, хто обробляє таку інформацію. Навіть для банківських організацій стандарт Банку Росії фактично не є обов’язковим до виконання. Новий закон прямо перераховує тих, кому доведеться виконувати всі встановлені вимоги – це і юридичні, і фізичні особи. При цьому закон вже набув чинності в 2006 (див. статтю 25 Закону). Багато представників бізнесу чекають 1-го січня 2010 року як дату офіційного вступу в силу вимог закону, що є великою помилкою. Точна цитата з тексту Закону звучить так: «Інформаційні системи персональних даних, створені до дня набрання чинності справжнього Федерального закону, повинні бути приведені у відповідність з вимогами цього закону не пізніше 1 січня 2010 року». Не більше і не менше! Вимоги закону аж ніяк не вичерпуються вимоги до власне інформаційних систем. Є велика кількість організаційних заходів обов’язкових до виконання. Крім того, якщо інформаційна система була створена «давно», то ніяких відстрочок не діє. Яким чином юридична особа буде обґрунтовувати дату створення інформаційної системи, закон, на жаль, не уточнює. Загальна структура вимог не дуже складна: технічні вимоги формулюють ФСТЕК і ФСБ, а організаційні прописані в законі та постанові уряду Росії №№ 781 та 687.
Перевірки
Практика перевірок дотримання закону показує, що регулюючі органи аж ніяк не збираються чекати 2010 року. Роскомнадзор, а саме він є уповноваженим органом з перевірок дотримання цього закону регулярно звітує про свою діяльність і передачі результатів до прокуратури. Якщо раніше (у 2007 і 2008 роках) мова йшла про адміністративні правопорушення, то тепер з’являються приклади і кримінального переслідування порушників. Виходячи з аналізу новинних повідомлень ми робимо висновок, що в першу чергу піддаються перевіркам організації, що обробляють «чужі» персональні дані (тобто дані клієнтів і третіх осіб, а не власних співробітників, наприклад). В першу чергу це банки, страхові компанії, оператори зв’язку (особливо стільникові телефонні компанії), туроператори, медичні установи (особливо недержавних), навчальні заклади. В якості позитивного моменту можна відзначити, що в даний час перевіряючі органи готові задовольнити самим фактом початку робіт по захисту. Тобто достатньо продемонструвати хоч якісь зусилля в цій області, щоб не понести матеріальних втрат.
Що робити?
Хто може допомогти бізнесу у вирішенні знову виниклої проблеми? Практично всі найбільші інтегратори в області інформаційної безпеки вже оголосили про нову послугу «Захист персональних даних». На жаль, технічні вимоги до процесу захисту мають велику кількість недоліків. Найголовніший, на наш погляд, недолік полягає в тому, що вимоги і рекомендації не опубліковані відкрито і мають гриф ДСК (для службового користування). Наскільки в принципі законно вимагати виконання документа, не пройшов реєстрацію в Мін’юсті, питання відкрите, однак регулюючі органи суперечностей тут не бачать. Крім того, ці вимоги вельми складні до виконання. Часто їх просто неможливо виконати, не перебудовують всю інформаційну інфраструктуру підприємства. Щоб не доводити справу до крайніх випадків, бізнес буде змушений вибирати з безлічі пропозицій найкращу. Як зрозуміти, який інтегратор зможе забезпечити виконання вимог законодавства? І, навіть більш важливий фактор, чию роботу регулюючі органи визнають відповідної законом? На серпень 2009 року практично ніхто з інтеграторів не поспішає звітувати про успішно завершених проекти в цій області. Успішно завершеним ми вважаємо проект, який без зауважень пройшов перевірку Роскомнадзора, ФСТЕК і ФСБ. На багатьох круглих столах представники ФСТЕК заявляли, що критерієм вибору інтегратора для роботи у галузі захисту персональних даних (з точки зору ФСТЭКа, звичайно) є наявність у нього ліцензії на діяльність з технічного захисту конфіденційної інформації. Разом з тим, очевидно, що цією ліцензією має велику кількість організацій. Деякі з цих організацій взагалі не працюють в області захисту інформації. Крім того, в технічних вимогах написана рекомендація погоджувати проекти захисту великих систем з представниками ФСТЕК. Зрозуміло, що найбільші інтегратори володіють такою можливістю хоча б в силу того, що співпрацюють з ФСТЭКом тривалий час. Таким чином, рецепт стовідсоткового успіху можна запропонувати такий: ретельно вибирати інтегратора, фіксувати в договорі обов’язковість погодження проекту захисту з регуляторами і починати роботи негайно.
Перспективи ринку
Щоб оцінити обсяг ринку захисту персональних даних, треба згадати, що захищати ці дані зобов’язані всі, хто їх має. Очевидно, що будь-яка юридична особа в Росії має і обробляє персональні дані. У найпростішому випадку це кадрова та бухгалтерська інформація власних співробітників. За інформацією ФНС Росії на 01.08.2009 зареєстровано понад 4.1 мільйона юридичних осіб. Всі вони є потенційними клієнтами на ринку захисту персональних даних. Ніколи раніше ринок захисту інформації не отримував такої клієнтської бази. Очевидно, що більша частина цих клієнтів не може собі дозволити дорогих послуг і рішень (згадаймо хоча б велику частку неліцензійного програмного забезпечення в Росії, щоб оцінити їх купівельну спроможність). Разом з тим мінімальну вартість робіт і устаткування по приведенню одного робочого місця у відповідності з вимогами закону можна оцінити в межах 20000 рублів (у найпростішому випадку). Крім того, обов’язково доведеться ліцензувати все наявне програмне забезпечення. Таким чином, навіть якщо вважати, що кожна юридична особа має всього одне робоче місце для обробки персональних даних (що очевидно не так) – загальна цифра складе 61,5 мільярда рублів, або понад 1,7 мільярда доларів США. І це тільки ринок захисту персональних даних, не вважаючи інших сегментів ринку інформаційної безпеки. Нагадаю, що за деякими даними, загальна виручка компаній в області ІБ становить мільярди рублів. Очевидно, що таке зростання ринку не обійдеться без появи нових учасників хоча б тому, що спільних зусиль усіх існуючих сьогодні гравців не вистачить для виконання усіх необхідних проектів. Також великий ринок отримують виробники засобів захисту інформації та сертифікаційні лабораторії ФСТЕК (справа в тому, що для захисту персональних даних повинні застосовуватися сертифіковані засоби захисту). На жаль, існує небезпека, що ринок перетворитися на «ринок продавця». Строки, встановлені законодавством, вже фактично минули, а багато потенційні клієнти все ще чекають 1-го січня 2010 року.
Керуючий партнер компанії Pointlane
Корольов Олексій