Про персональні дані
ВСТУПЛЕНІЄВ вже далекому 2006 року в Росії був ухвалений закон № 152 ФЗ «Про персональні дані». Не буде перебільшенням сказати, що цей закон є сильним чинником дії на ринок інформаційної безпеки в Росії за всю історію його (ринку) існування. Річ у тому, що цим законом держава фактично вперше зажадала від бізнесу виконувати які-небудь норми по захисту інформації. Звичайно, держава і раніше вимагало дотримання певних стандартів в цій області. Існує система контролюючих і ліцензіюючих органів (наприклад, ФСТЕК і ФСБ), працюють маса виробників і інтеграторів в області «державного» захисту інформації. Що новогосамой головною особливістю ухваленого закону є те, що раніше ці вимоги не відносилися абсолютно до всіх бізнес-структур Росії. Вимоги по захисту державної таємниці природно відносяться тільки до тим, хто обробляє таку інформацію. Навіть для банківських організацій стандарт Банку Росії фактично не є обов'язковим до виконання. Новий закон прямо перераховує тих, кому доведеться виконувати всі встановлені вимоги - це і юридичні, і фізичні особи. При цьому закон вже набув чинності в 2006 (див. Статтю 25 Закону). Багато представників бізнесу чекають 1-го січня 2010 року як дату офіційного набуття чинності вимог закону, що є великою помилкою. Точна цитата з тексту Закону звучить так: «Інформаційні системи персональних даних, створені до дня набуття чинності справжнього Федерального закону, мають бути приведені у відповідність з вимогами справжнього Федерального закону не пізніше за 1 січень 2010 року». Не більше і не менше! Вимоги закону зовсім не вичерпуються вимоги до власне інформаційних систем. Є велика кількість організаційних мерів обов'язкових до виконання. Крім того, якщо інформаційна система була створена «давно», то ніяких відстрочень не діє. Яким чином юридична особа обгрунтовуватиме дату створення інформаційної системи, закон, на жаль, не уточнює. Загальна структура вимог не дуже складна: технічні вимоги формулюють ФСТЕК і ФСБ, а організаційні прописані в законі і ухвалах уряду Росії №№ 781 і 687. Проверкипрактіка перевірок дотримання закону показує, що регулюючі органи зовсім не збираються чекати 2010 року. Роськомнадзор, а саме він є уповноваженим органом по перевірках дотримання цього закону регулярно звітує про свою діяльність і передачу результатів в прокуратуру. Якщо раніше (у 2007 і 2008 роках) мова йшла про адміністративні правопорушення, то тепер з'являються приклади і кримінального переслідування порушників. Виходячи з аналізу новинних повідомлень ми робимо вивід, що насамперед перевіркам піддаються організації, оброблювальні «чужі» персональні дані (тобто дані клієнтів і сторонніх осіб, а не власних співробітників, наприклад). Насамперед це банки, страхові компанії, оператори зв'язку (особливо стільникові і телефонні компанії), туроператори, медичні установи (особливо недержавні), учбові заклади. Як позитивний момент можна відзначити, що в даний час перевіряючі органи готові задовольнити самим фактом початку робіт по захисту. Тобто досить продемонструвати хоч якісь зусилля в цій області, щоб не понести матеріальних втрат. Що робити? Хто може допомогти бізнесу у вирішенні знов виниклої проблеми? Практично всі найбільші інтегратори в області інформаційної безпеки вже оголосили про нову послугу «Захист персональних даних». На жаль, технічні вимоги до процесу захисту мають велику кількість недоліків. Найголовніший, на наш погляд, недолік полягає в тому, що вимоги і рекомендації не опубліковані відкрито і мають гриф ДСП (для службового користування). Наскільки в принципі законно вимагати виконання документа, що не пройшов реєстрацію в Мінюсті, питання відкрите, проте регулюючі органи суперечностей тут не бачать. Крім того, ці вимоги вельми складні до виконання. Часто їх просто неможливо виконати, не перебудовую всю інформаційну інфраструктуру підприємства. Щоб не доводити справу до крайніх випадків, бізнес буде вимушений вибирати з безлічі пропозицій якнайкраще. Як зрозуміти, який інтегратор зможе забезпечити виконання вимог законодавства? І, навіть важливіший чинник, чию роботу регулюючі органи визнають відповідною закону? На серпень 2009 року практично ніхто з інтеграторів не поспішає звітувати про успішно завершені проекти в цій області. Успішно завершеним ми рахуємо проект, який без зауважень пройшов перевірку Роськомнадзора, ФСТЕК і ФСБ. На багатьох круглих столах представники ФСТЕК заявляли, що критерієм вибору інтегратора для роботи в області захисту персональних даних (з погляду Фстека, звичайно) є наявність у нього ліцензії на діяльність по технічному захисту конфіденційної інформації. Разом з тим, очевидно, що дану ліцензію має в своєму розпорядженні велику кількість організацій. Деякі з цих організацій взагалі не працюють в області захисту інформації. Крім того, в технічних вимогах написана рекомендація погоджувати проекти захисту крупних систем з представниками ФСТЕК. Зрозуміло, що найбільші інтегратори володіють такою можливістю хоч би внаслідок того, що співробітничають з Фстеком тривалий час. Таким чином, рецепт стовідсоткового успіху можна запропонувати такій: ретельно вибирати інтегратора, фіксувати в договорі обов'язковість узгодження проекту захисту з регуляторами і починати роботи негайно. Перспективи ринкачтоби оцінити об'єм ринку захисту персональних даних, треба пригадати, що захищати ці дані зобов'язані всі, хто їх має. Очевидно, що будь-яка юридична особа в Росії має і обробляє персональні дані. У простому випадку це кадрова і бухгалтерська інформація власних співробітників. За інформацією ФНС Росії на 01.08.2009 зареєстровано більше 4.1 мільйонів юридичних осіб. Всі вони є потенційними клієнтами на ринку захисту персональних даних. Ніколи раніше ринок захисту інформації не отримував такої клієнтської бази. Очевидно, що велика частина цих клієнтів не може собі дозволити дорогих послуг і рішень (пригадаємо хоч би велику частку неліцензійного програмно забезпечення в Росії, щоб оцінити їх купівельну здатність). Разом з тим мінімальну вартість робіт і устаткування по приведенню одного робочого місця у відповідність з вимогами закону можна оцінити в межах 20000 рублів (у найпростішому випадку). Крім того, обов'язково доведеться ліцензіювати забезпечення, що все є програмно. Таким чином, навіть якщо вважати, що кожну юридичну особу має всього одне робоче місце для обробки персональних даних (що очевидно не так) – загальна цифра складе 61,5 мільярда рублів або більше 1,7 мільярдів доларів США. І це тільки ринок захисту персональних даних, не рахуючи решти сегментів ринку інформаційної безпеки. Нагадаю, що за деякими даними загальна виручка компаній в області ІБ складає мільярди рублів. Очевидно, що таке зростання ринку не обійдеться без появи нових учасників хоч би тому, що спільних зусиль всіх гравців, що існують сьогодні, не вистачить для виконання всіх необхідних проектів. Також великий ринок отримують виробники засобів захисту інформації і сертифікаційні лабораторії ФСТЕК (річ у тому, що для захисту персональних даних повинні застосовуватися сертифіковані засоби захисту). На жаль, існує небезпека, що ринок перетворитися на «ринок продавця». Терміни, встановлені законодавством, вже фактично закінчилися, а багато потенційних клієнтів все ще чекають 1-го січня 2010 року. Партнер компанії Pointlaneкорольов Олексій, що управляє,