Большинство фирм, которые любовно ведут для своих нужд базу данных клиентов-"физиков", похоже, до сих пор не подозревают, что с точки зрения закона они классифицируются не иначе как "операторы персональных данных" - со всеми вытекающими последствиями. Между тем время поблажек истекает, скоро начнутся проверки.
Бюджет защитника
На сегодняшний день Федеральная служба по техническому и экспортному контролю сертифицировала около трех тысяч различных систем, которые обеспечивают защиту персональных данных. Среди них продукты большинства известных ИТ-компаний, а также разработки небольших российских фирм.
В зависимости от объема персональных данных, степени защиты и производителя системы цена может колебаться от двух до двухсот тысяч рублей. Сертификация собственного продукта, по оценкам экспертов, обойдется компании в 500-600 тысяч рублей.
Упомянутый закон "О персональных данных"(N152-ФЗ) вступил в силу в январе 2007-го, а установленный им переходный период заканчивается 1 января 2010 года. Самое время напомнить логику закона. Юрлица обязаны обеспечить защиту сведений о гражданах, которые собирают и используют в своей работе. Степень защищенности должна соответствовать категории данных. В категорию наименее защищаемых попадают, например, сведения о телефоне и адресе гражданина, а наивысшую степень сохранности операторы обязаны обеспечить для информации о доходах, паспортных данных или здоровье гражданина. Организации должны привести свои информационные системы в соответствие с новыми требованиями, ввести ограничения доступа и защитить от несанкционированного копирования. Не вдаваясь в технические детали, достаточно сказать, что компаниям - операторам персональных данных придется обзавестись новым, сертифицированным программным обеспечением или усовершенствовать и сертифицировать старое, а также пройти аттестацию и направить соответствующее уведомление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), после чего их включат в реестр операторов. И тогда, по мысли законодателей, должна прекратиться вакханалия с массовым "сливом" на сторону клиентских баз данных коммерческих фирм и государственных структур.
Переходный период, который заканчивается через полгода, был установлен, чтобы организации привели в соответствие с требованиями закона свои информационные системы, созданные до вступления 152-ФЗ в силу.
С соблюдением закона, мягко говоря, возникают проблемы. На начало года, по данным Роскомнадзора, в реестре успело зарегистрироваться лишь 33,7 тысячи операторов персональных данных. Причем эта цифра включает государственные и муниципальные органы (42%). А по оценкам специалистов, в общей сложности операторов в реестре должно быть что-то около семи миллионов (!), ведь свои клиентские базы ведут многие - от турагентства до химчистки.
Шансов, что к началу 2010 года ситуация сильно изменится, не много. Сертификационных центров в России не более сотни, и их пропускная способность невелика. Как подсчитал Алексей Лукацкий, автор книги "Мифы и заблуждения информационной безопасности", на то, чтобы сертифицировать всех существующих в России операторов персональных данных, уйдет не менее тысячи лет. По большому счету, операторам, которые обязаны обеспечить максимальную степень защиты сведений (например, банкам и страховым компаниям), следовало начинать переходить на новые стандарты еще в 2007-м.
Между тем правовые последствия могут оказаться для компаний весьма болезненными. "За несоблюдение требований защиты персональных данных установлена и административная, и уголовная ответственность", - объясняет Михаил Емельянников, директор по развитию бизнеса компании "Информ-Защита". Наиболее вероятной является административная ответственность (статьи 13.11-13.14 КоАП). Максимальные штрафы по этим нормам не превышают нескольких десятков тысяч рублей. Но предусмотрена также и уголовная ответственность. По статье 137 УК РФ за незаконный сбор или распространение с использованием служебного положения личных сведений грозит штраф от 100 до 300 тысяч рублей или в размере заработной платы за срок до двух лет, либо лишение свободы на срок до трех лет, либо арест на срок от четырех до шести месяцев. Причем с 1 января 2010 года наказание ужесточается: нарушителям будет грозить до четырех лет лишения свободы.
Несмотря на то что закон действует уже два с половиной года, ожидается, что проверки начнутся именно после наступления "крайнего срока" - завершения переходного периода. Никто из специалистов, впрочем, пока не смог припомнить ни одного случая, когда за время действия закона кто-то был привлечен к уголовной ответственности. Поэтому, скорее всего, речь будет идти о штрафе. Он, в принципе, равен стоимости программных продуктов на рынке. Но штрафовать будут до тех пор, пока компания не устранит нарушения.
Первыми всполошились банки. Они обратились в Роскомнадзор с письмом, в котором попросили продлить переходный период еще на два года. Одним из инициаторов письма стал депутат Госдумы Анатолий Аксаков. "В условиях кризиса банкам не хватит ресурсов, чтобы перестроить свои системы", - уверен депутат. Инициативу поддержали и другие операторы персональных данных. Крупным компаниям переход на новые стандарты обойдется в миллионы рублей. Мелким и средним - в десятки тысяч.
Чиновники идею отодвинуть сроки не одобряют. "Это отрицательно повлияет на защиту прав субъектов персональных данных (то есть граждан. - Прим. ред.)", - заявил замглавы Роскомнадзора Роман Шередин. Впрочем, и он признает, что предусмотренные законом правила нужно упрощать. Процедура защиты данных действительно запутанна. Помимо закона "О персональных данных", существует множество документов (например, за авторством Федеральной службы по техническому и экспортному контролю и ФСБ), которые регулируют различные методологические аспекты. "Существующая методология является сложной - организационно и финансово - для большинства операторов, обрабатывающих персональные данные", - сказал Роман Щередин. Поэтому не исключено, что до конца года некоторые изменения все же появятся.
Пока от принятия закона выиграли отнюдь не граждане, персональные данные которых продолжают практически невозбранно покупаться и продаваться на черном рынке. До сей поры главные бенефициары - ИТ-компании, работающие на рынке защиты информации. "Мы ожидаем роста этого сегмента в районе 20%, несмотря на кризис", - говорит ведущий аналитик по исследованиям компании Gartner Руггеро Конту. Статистика и прогнозы экспертов это подтверждают. Как говорится в отчете IDC Russia Security Software, в 2008 году объем продаж в сегменте систем ИТ-безопасности составил 211 млн долларов, что на 46,7% больше, чем годом ранее, а темпы роста сегмента на 20% выше, чем в целом по ИТ-рынку.
Как дела? Воруют!
По данным исследовательской компании Perimetrix, в России персональные данные крадут у 57% компаний. Наиболее "резонансные" похищения происходили у сотовых операторов и страховых компаний. В первом случае общедоступными становились сведения об абонентах, во втором - информация о застрахованном имуществе.
Как уверяют исследователи, никто из виновных в утечке не был привлечен к ответственности. Причина кроется в несовершенстве нового российского законодательства о защите персональных данных. В частности, закон предусматривает ответственность не за факт распространения сведений, а за нарушения в порядке их обработки и защиты. То есть речь идет о формальных требованиях: наличие соответствующих разрешений, договоров и сертификатов.
Впрочем, даже в Европе, где правила защиты личной информации действуют давно, не гарантируется полная конфиденциальность. За последние несколько лет, по данным официальной статистики, около 300 млн человек пострадали от утечки персональных сведений из компаний и госорганов. Из них три четверти стали жертвами халатности держателей базы данных и лишь четверть пострадала от хакеров и других злоумышленников. Например, осенью прошлого года министр обороны Великобритании Джеймс Пернелл забыл в поезде диск с персональными сведениями сотни тысяч военнослужащих.
Лидируют по количеству утечек конфиденциальных сведений США. Слишком большие объемы утечек заставили американских законодателей обязать операторов уведомлять обо всех зафиксированных фактах потери или кражи данных. В противном случае оператора ждут многомиллионные штрафы.
