Ассоциация «РусКрипто»

22 мая 2009 года

Когда мы перестанем читать о себе в Интернете?

Такое определении вводит закон «О персональных данных» (№ 152-ФЗ), принятый в 2006 году. Со времени принятия другого закона — «Об электронной цифровой подписи», — пожалуй, не было нормативного документа в области защиты информации, который бы вызвал на рынке такое оживление. Скоро ему уже исполнится три года, а он все еще бурно обсуждается сообществом.

История вопроса

У вопроса действительно есть история, поскольку 28 января 1981 года, еще на заре создания Евросоюза, была принята конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Российская Федерация присоединилась к конвенции в Страсбурге 7 ноября 2001 года, и с тех пор, как видим, еще 5 лет ушло на разработку этого закона.

Персональные данные в современном обществе накапливаются неизбежно, причем в самых неожиданных местах. Масштаб этого накопления огромен. На нижнем уровне — школьные журналы (данные не только о детях, но и о родителях, телефонах, домашних адресах), вахтенные талмуды охранников (Ф.И.О., паспортные данные, когда и к кому прошел), кассовые терминалы в магазине (если вы расплачиваетесь кредитной картой, по сути, фиксируется не только то, что куплено, но и когда, и где находился человек). На верхнем уровне — базы данных операторов связи, органов государственной власти. А между ними — бесчисленное множество корпоративных и ведомственных информационных систем.

Поэтому, когда в прессе появляются оценки о том, что в России существует около 3 млн операторов персональных данных, специалистов это не удивляет. То, что количество операторов сопоставимо с количеством граждан (!), здравому смыслу не противоречит. Конечно, есть Конституция, 23-я статья которой утверждает право граждан на неприкосновенность частной жизни, личную и семейную тайну, право на тайну переписки, а 24 статья ясно запрещает «сбор, хранение, использование и распространение информации о частной жизни лица». Однако механизм реализации такого права возможен только в более частных законах.

Впервые понятие «персональные данные» появилось в законе «Об информации, информатизации и защите информации» (1995), где оно без специальной дефиниции приравнено к понятию «информация о гражданах». Тот закон только констатировал необходимость защиты такой информации, указывая на необходимость лицензирования средств защиты, хотя не вполне понятно, какими средствами такая защита может быть осуществлена.

Закон «О персональных данных» как раз ввел четкую терминологию, связанную с обработкой персональных данных, в том числе определил понятие оператора персональных данных. Законом введены специальные категории персональных данных: обезличенные, общедоступные, биометрические; определены принципы и условия обработки, права субъекта персональных данных и обязанности оператора. Вводятся и определенные исключения (например, на согласие субъекта персональных данных на обработку информации о нем), чтобы не доводить ситуацию до абсурда (накрывать им, в частности, популярные интернет-службы) и тем самым не переводить де-факто сам закон в разряд необязательных или (что еще хуже) избирательных.

В соответствии с законом меры по обеспечению безопасности персональных данных при их обработке теперь обязан принимать оператор. Эти меры должны обеспечивать защиту информации о гражданах от неправомерного или случайного доступа к ней, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Требования к обеспечению безопасности персональных данных устанавливает правительство РФ, а контроль и надзор в этой области осуществляются ФСБ и ФСТЭК России. Уполномоченным органом по защите прав субъектов персональных данных назначена Россвязьохранкультура.

Ключевым элементом здесь является система конкретных требований к операторам персональных данных, которые этот закон передал в компетенцию соответствующих органов: ФСТЭК, ФСБ России, Мининформсвязи. В результате появились методические материалы ФСТЭК («Базовая модель угроз безопасности…», «Методика определения актуальных угроз…», «Основные мероприятия по организации и техническому обеспечению безопасности…» — все документы утверждены 15 февраля 2008 года). Интересно, что все документы имеют статус ДСП (юридически весьма размытый), и продаются только во ФСТЭК. Практически одновременно (21 февраля того же года) появились и материалы ФСБ России «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных…» и «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств…».

Важным является и подписанный 13 февраля 2008 года так называемый приказ трех — Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Документ представляет собой методическую рекомендацию по классификации информационных систем. Именно классификация должна стать первым шагом в выстраивании системы защиты персональных данных. Причем классификация информационной системы, обрабатывающей персональные данные, в соответствии с нормативной базой проводится самим оператором. Так, например, вводятся четыре категории персональных данных: от 1-й — самой подробной, касающейся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни и т. д., до 4-й — обезличенных или общедоступных данных, то есть полученных с письменного согласия субъекта. При классификации учитывается также объем персональных данных (менее тысячи, от одной до 100 тыс., более 100 тыс.), наличие подключений к внешним сетям, нахождение элементов информационной системы за пределами РФ и другие факторы. Информационные системы делятся на типовые (где требуется только обеспечение конфиденциальности данных) и специальные.

Будет ли сдвиг?

Вопрос об эффективности этого закона вызывает споры среди специалистов, что подтверждается, например, дискуссиями, которые несколько лет идут на конференции «Рускрипто». Заметно оживление и на рынке: крупные системные интеграторы и компании, специализирующиеся на защите информации, уже предложили услуги защиты персональных данных. Разумно. Кому, как не им, имеющим опыт и понимающим специфику работы заказчиков, этим заниматься. В область персональных данных «подкручены» в чисто маркетинговом плане и традиционные средства защиты информации: средства шифрования, защиты от НСД и другие. Возникла информационная аура: учебные центры предлагают курсы, юристы — консультации, журналисты — публикации. И все это весьма полезно, лишь бы ярлык «персональные данные» не навяз в зубах как знакомые всем обороты «только из натуральных продуктов», «не содержит холестерина», «не содержит ГМО».

Сам по себе закон, конечно, не может создать в одночасье ту культуру и ответственность в обработке персональных данных (да и вообще в защите информации), что существует в цивилизованных странах. В защите информации, как в любой борьбе, решающее значение имеет «цена игры» — понятие математическое. Любой здравомыслящий участник ввязывается в игру, только если средний выигрыш будет не меньше среднего проигрыша. Как это относится к персональным данным?

Персональные данные — во всех странах лакомый кусок для криминальных структур; чем больше база данных, тем она ценнее. Ее можно и продавать (пиратские диски, сайты для наведения справок, просто услуги), и использовать по прямому назначению (кража денег с банковских карт через покупку и сбыт товаров, различные виды мошенничества). Какова здесь «цена игры»? Конечно, нельзя сосчитать ни выигрыш, ни проигрыш, но без всякой математики понятно, что если при удачном исходе криминал получает миллионные прибыли, а при неудачном раскладе ничего не теряет (ну разве что сдаст правоохранительным органам несколько «пешек»), то игра стоит свеч.

С 2010 года нам обещают глобальную защиту персональных данных среди телефонных операторов. Вспомним, как постепенно на развалах появлялись диски с базами МГТС (середина 90-х), «Билайна» (1996, 2004), МТС (2002), в 2003 году на пиратских дисках появились базы всех (!) абонентов питерских операторов: «МегаФон», «Дельта Телеком», «Телеком XXI», FORA, «Северо-Западный Телеком» и «Петерстар» (всего около 5 млн записей). А после кражи баз данных Пенсионного фонда московского и других регионов (2005–2006), базы данных ГИБДД (2005) можно говорить о том, что в настоящее время общедоступными являются персональные данные (той или иной, конечно, степени подробности) о как минимум 70–80% граждан, включая детей и пожилых людей. Во всех этих случаях базы данных украдены с использованием обычных носителей информации далеко не рядовыми сотрудниками соответствующих организаций. О каких-либо последствиях для виновных ничего не известно (за исключением каких-то оргвыводов). Да и нет прямой юридической ответственности за разглашение персональных данных, ведь даже производителей пиратских дисков нельзя, например, привлечь по обычной для этого случая 146-й статье («Нарушение авторских и смежных прав»). Это преступление нельзя подвести и под другие статьи УК РФ: ни под кражу, ни под компьютерные преступления (статьи 272–274), ни под нарушение тайны переписки (ст. 138), ни под незаконное предпринимательство (обработка персональных данных не подлежит обязательному лицензированию). Хотя Мининформсвязи еще в 2005 году предлагало ввести уголовную ответственность за незаконный сбор и разглашение персональных данных. Так что никакой иной ответственности с введением нового закона пока не появляется.

Не появится, само собой, и никаких новых средств защиты информации. Они давно уже известны: разграничение доступа, шифрование, аутентификация, регистрация действий пользователей, ограничение использования съемных носителей, контроль интернет-соединений. Если бы закон был принят десять лет назад — могло бы это предотвратить перечисленные громкие случаи? Вопрос открытый, мы сможем лишь наблюдать, как изменится статистика утечек персональных данных с 2010 года.

Впрочем, попытаемся чуть заглянуть в будущее. В Германии, например, персональные данные защищают давно и по-немецки методично. Это не помешало появлению в декабре прошлого года на черном рынке банковских (а не просто личных) данных 21 млн (!) жителей Германии. По предварительной информации, следы ведут к небольшим call-центрам, чьими услугами пользуются телекоммуникационные операторы и предприятия ЖКХ. Вот вам и «преимущества» аутсорсинга. Не прошло и полгода — новый скандал: в конце марта глава крупнейшего и успешнейшего немецкого предприятия Deutsche Bahn Хартмут Медорн лично санкционировал сбор данных о 174 тысячах сотрудников железнодорожного гиганта. Цель, кстати, была благая: боролись с корпоративной коррупцией и даже выявили около 300 нарушений. Глава Deutsche Bahn подал в отставку, а компанию ждет штраф в 250 тысяч евро.

Таким образом, закон «О персональных данных» — не панацея, его следует рассматривать как часть движения к культуре работы с информацией вообще и с персональными данным в частности. Логическим продолжением этого движения (от положений Конституции через фиксацию понятий к конкретным требованиям и методикам) должно стать ужесточение ответственности за умышленное разглашение персональных данных, особенно если это способно нанести ущерб гражданам. Необходимо добиться и того, чтобы инциденты в этой области могли угрожать репутации компаний и конкретных людей.

P.S. По данным исследования SecurityLab, которое было проведено в октябре–ноябре 2006 года, 96% респондентов приветствовали появление закона, но только 60% верили в его действенность.

Компьюлента

Новостная рассылка

Подпишитесь на новостную рассылку «РусКрипто», чтобы следить за подготовкой к конференции и оперативно получать уведомления об обновлениях программы.

Спонсоры и партнеры

Организаторы конференции