Нужно ли ждать доброго царя?

В июле этого года произошло событие, наступления которого ждали четыре года, — полностью вступил в силу федеральный закон № 152 “О персональных данных” (на самом деле он вступил в силу уже четыре года назад, отложена была лишь одна часть одной статьи, и уже все эти четыре года любой оператор должен был принимать все необходимые меры по защите персональных данных. Но так уж получилось, что в общественном сознании отложилось, что отложен весь закон целиком). Одновременно с этим вступили в силу поправки к этому закону, “в девичестве” называвшиеся законопроектом Резника. По итогам трех чтений, каждый раз существенно менявших его содержание, закон был практически переписан заново. В результате изменилось большинство статей, были добавлены новые, уточнены многие определения. Если первоначальные предложения, внесенные председателем комитета Госдумы по финансовым рынкам Владиславом Резником и принятые в первом чтении, предполагали, что:

• правительство устанавливает требования к защите персональных данных только для государственных и муниципальных информационных систем и регулирующие органы контролируют меры по защите информации только в этих системах;
• оператор персональных данных и субъект этих данных могут сами договориться о принимаемых мерах защиты (из этого родился очередной миф: коммерческие предприятия могут сами выбирать меры защиты информационных систем, а закон о защите персональных данных действует только для государственных организаций),

то позднее от этих идей отказались, и более того список обязанностей оператора был существенно расширен.

Так, если в предыдущей редакции закона говорилось, что “оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры… для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий”, то теперь в связи с тем, что “при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных” оператор дополнительно должен обеспечивать корректность используемых данных, их полноту и актуальность.

Если ранее закон, возлагая на оператора ответственность за защиту персональных данных, не конкретизировал меры, которые должны были применяться оператором (список этих мер должны были разработать регуляторы — в частности ФСТЭК и ФСБ), то теперь непосредственно в нем перечисляются меры по защите.

Если говорить о программном обеспечении, то список этих мер требует применения в обязательном порядке средств защиты от несанкционированного доступа (куда входят и антивирусные средства), средств резервирования и аудита действий пользователей. Все используемые средства защиты должны быть сертифицированы.

Стоимость внедрения системы защиты, соответствующей данному закону, может быть определена достаточно легко, и в Интернете можно найти такие оценки. Согласно им, в расчете на одно рабочее место (в зависимости от структуры локальной сети и размера компании) она составит от 25 до 100 тыс. руб. (и это при том, что список мер, описанных в законе, далеко не полон и не включает, например, средств защиты от утечек, которые тоже не дешевы). Вполне естественно, что такие затраты неподъемны для подавляющего большинства компаний, главным образом малого и среднего бизнеса, особенно с учетом отсутствия нужного количества специалистов в области безопасности, необходимых для правильной (достаточной по принимаемым мерам и оптимальной по затратам) организации системы защиты.

В связи с этим большую известность получило открытое письмо специалистов по информационной безопасности президенту России, а также реакция на него.

Нельзя не согласиться, что одной из основных проблем на данный момент является отсутствие подробных методик, позволяющих выполнить требования закона в реальные сроки и с имеющимися специалистами. Наиболее остро эта проблема стоит перед компаниями малого и среднего бизнеса, особенно находящихся вдали от центров, где можно найти квалифицированных сотрудников.

В царской России крестьяне писали прошения царю, надеясь, что только он облегчит их участь. И тогда это было действительно так. Но с тех пор утекло много воды, и мы живем в гражданском обществе, где от каждого зависит, как мы все будем жить дальше.

Но если лягушка не будет барахтаться и бить лапками, то она утонет в той банке с молоком, куда она свалилась. Никто не запрещает создавать объединения операторов с целью выработки рекомендаций и процедур. И более того новая редакция закона упоминает о создании таких документов, правда только с целью улучшения уже существующих документов регуляторов. Действительно, закон суров, но это закон, и его надо исполнять. Это с одной стороны. Но и состояние дел с информационной безопасностью компаний по всей стране удручающее. Не будем забывать об этом!

Стоит ли ждать, пока добрый царь выполнит пожелания “угнетенных крестьян"? Или надо действовать по нормам гражданского общества и использовать имеющиеся права для решения проблем?

Выше уже упоминались оценки стоимости защиты. В них учитывалась необходимость покупки отдельных продуктов, отвечающих за антивирусную защиту, разделение доступа и т. д. Но нужно ли это всем? Оператор сам отвечает за выбор актуальных угроз. А большинство средств защиты являются комплексными. Да, входящие в состав антивирусов файрвол и средства защиты от несанкционированного доступа уступают по возможностям специализированным продуктам. Но всегда ли и всем нужны функции таких специализированных продуктов, если компоненты комплексной защиты удовлетворяют требованиям закона и оператору нужно лишь реализовать бизнес-процесс, делающий излишним приобретение целого ряда решений? И это не единственная возможность оптимизировать стоимость защиты и сроки ее реализации.

Очевидно, что инициатива создания группы для выработки рекомендаций по реализации требований к защите данных требует полной поддержки всего российского ИТ-сообщества.

Традиционно в нашей стране суровость законов компенсировалась их тотальным неисполнением. На данный момент количество документов, регулирующих уровень защиты компаний и государственных организаций, очень велик, но насколько это влияет на реальную безопасность? Естественно, что вендоры не раскрывают соотношение продаж различных систем из своих продуктовых линеек. Но судя по имеющейся в Интернете общедоступной информации (тому же сайту госзакупок), подавляющее большинство покупает из всех средств защиты только антивирусы для рабочих станций и файловых серверов. Да, системы для защиты почтовых сервисов и шлюзов, а также сканеры безопасности и средства защиты каналов связи тоже закупаются, но куда меньше. И причин тому много — от банального незнания современных угроз безопасности (многие до сих пор думают, что заметят, когда вирус к ним проникнет, и сразу его удалят!) и до надежды на то, что они маленькие и вирусописателям не интересны.

Из всех принятых законов, постановлений и указов по безопасности всеобщее внимание привлек только один — закон “О персональных данных”. Он справедливо вызвал нарекания экспертов ИТ-сообщества сразу после вступления в силу, и вызывает нарекания сейчас. Действительно недостатков у закона хоть отбавляй. Много и мест, которые недостаточно освещены и непонятны в реализации. Но исходя из плачевного состояния информационной безопасности в нашей стране можно понять и наше правительство, которое хочет хоть так заставить коммерческие и госструктуры, а также граждан принять какие-то меры по изменению ситуации.

СПЕЦПРОЕКТ