Депутаты не решились отключить ФСБ от персональных данных
Депутаты Госдумы передумали снижать требования по выполнению закона «О персональных данных», отказавшись от идеи предоставить коммерческим организациями самим выбирать меры защиты информационных систем. Участники рынка объясняют это лоббистскими усилиями регуляторов, а эксперты по безопасности написали открытое письмо президенту с просьбой отклонить законопроект в текущим виде.Государственная Дума приняла в третьем, окончательном чтении поправки к закону «О персональных данных» (152-ФЗ), уточняющие ряд его понятий. Наибольшая интрига разгорелась вокруг 19 статьи «Меры по обеспечению безопасности персональных данных при их обработке», новая редакции которой была принята в двух различных вариантах в первом и втором чтениях поправок. Именно эта статья является наиболее важной для огромного числа российских компаний, осуществляющих автоматическую обработку данных о физических лицах (телеком-операторы, банки, туристические агентства, страховые компании и т.д.)
Действующая редакция закона обязывает операторов персональных данных соблюдать установленные правительством технические требования по защите информации. Правительство издало классификатор типов персональных данных в зависимости от количества субъектов данных и полноты информации о них. Непосредственно требования к защите информации устанавливают Федеральная служба безопасности (ФСБ) и Федеральная служба техническому и экспортному контролю (ФСТЭК), они же наделены правом контроля за выполнением этих требований.
Принятый в 2006 г. 152-ФЗ предоставлял отсрочку по введению данной нормы до 1 января 2010 г, впоследствии Госдума дважды продлевала этот срок, в ССЫЛКА последний раз – до 1 июля 2011 г. В мае депутаты решили не откладывать срок еще раз, но облегчить требования закона. Законопроект с поправками, внесенный председателем комитета Госдумы по финансовым рынкам Владиславом Резником и принятый в первом чтении, предполагал следующую редакцию статьи 19: правительство устанавливает требования к защите персональных данных только в государственных и муниципальных информационных системах в случаях, когда такая обработка данных предусмотрена законами.
Соответственно, ФСБ и ФСТЭК могли бы контролировать меры по защите информации только в этих системах. Кроме того, отдельный пункт статьи гласил, что оператор персональных данных и субъект этих данных (физическое лицо) могут сами договориться о принимаемых мерах защиты.
"Поправки Резника" в принятом Госдумой в третьем чтении варианте не устроили ни операторов, ни экспертов по безопасности
Однако во втором чтении депутаты одобрили поправку главы комитета по конституционному законодательству и государственному строительству Владимира Плигина, предложившего совсем иную редакцию статьи 19. Согласно принятому документу, правительство классифицирует уровни защиты информации, а требования к защите устанавливают ФСБ и ФСТЭК. Центробанк и отраслевые министерства могут принять нормативные акты, описывающие угрозы при обработке данных в соответствующих сферах, а отраслевые ассоциации и саморегулируемые организации могут дополнить перечь угроз. Все эти документы также подлежат согласованию с ФСБ и ФСТЭК.
Правительство также может определить перечь информационных систем, не относящихся к государственным и муниципальным, контроль за защитой информации в которых будут осуществлять ФСБ и ФСТЭК. Принятая редакция статьи 19 также налагает на операторов персональных данных ряд дополнительных требований: использовать сертифицированные средства защиты, оценивать эффективность используемых мер защиты до ввода информационной системы в эксплуатацию, устанавливать правила доступа к персональным данным и производить регистрацию всех действий с ними, обеспечивать восстановление информация в случае ее несанкционированного удаления.
Таким образом, законодатели не только передумали упрощать требования 152-ФЗ, но и ввели новые требования. Источник в крупной телекоммуникационной компании объясняет произошедшее лоббистскими усилиями ФСБ и ФСТЭК, поскольку аккредитованные при них структуры будут получать доход от сертификации систем обработки персональных данных. Если закон в таком виде вступит в силу, всем компаниям, обрабатывающим данные о физических лицах, придется смоделировать угрозы для соответствующих систем и внедрить комплекс технических мер защиты.
Речь идет об установке следующих подсистем: разграничения доступа, криптографической защиты информации, антивирусной защиты, обнаружения вторжений, анализа защищенности, аудита событий безопасности и межсетевого экранирования. Кроме того всем операторам необходимо пройти сертификацию уже имеющихся средств защиты информации и изменить архитектуру корпоративной информационной системы для реализации функций защиты. В результате, по подсчетам собеседника CNews, расходы на установку системы обработки персональных данных для разных компаний могут составлять от 10 до 200% годового оборота плюс операционные затраты на техническую поддержку системы защиты составят 10-15% от стоимости самих систем.
Экспертное сообщество ИБ-специалистов выразило свое недовольство принятым вариантом поправок в открытом письме президенту Дмитрию Медведеву, которое подписали Александр Бондаренко, Алексей Волков, Алексей Лукацкий, Александр Токаренко и Евгений Царев. “Российским операторам персональных данных законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества, - говорится в письме. - Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных”.
Далее эксперты отмечают, что операторы с большой вероятностью переложат расходы на субъектов персданных. В письме также отмечается, что законопроект не проходил антикоррупционную экспертизу. По мнению его авторов создаются предпосылки для вывода информационных систем за пределы России в страны Евросоюза, “где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта”. Подписанты просят президента отклонить законопроект, направить его на общественные слушания и доработку.