Статья

Закон "О персональных данных": причины провала

Безопасность
мобильная версия

26 января 2007 года вступил в силу ФЗ "О персональных данных". Однако приватные базы данных как лежали на прилавках, так и продолжают там оставаться. Изменил ли новый закон практику нелегального оборота персональных данных? Нет. Сможет ли он остановить очередные утечки? Вряд ли. По мнению экспертов, закон бессилен, поскольку его требования недостаточно конкретны.

В первую очередь отметим, что при беглом знакомстве требования ФЗ "О персональных данных" выглядят достаточно правильными и в некоторой степени даже убедительными. Так, в сферу действия этого нормативного акта попадают все юридические и физические лица, на попечении которых находятся приватные сведения других граждан. Новый закон требует, чтобы каждая организация, владеющая персональными данными своих сотрудников, клиентов, партнеров и т.д., обеспечила конфиденциальность всей этой информации. В случае нарушения положений закона компания может лишиться лицензии и подвергнуться судебному преследованию со стороны граждан, чьи приватные записи были скомпрометированы. Кроме того, виновные лица, нарушившие требования закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

Чтобы посмотреть, насколько эффективным считают специалисты по ИТ-безопасности применение нового закона на практике, обратимся к результатам исследования компании InfoWatch "Защита персональных данных по закону". В ходе этого проекта было опрошено 300 профессионалов в сфере защиты информации, каждый из которых получил возможность ознакомиться с требованиями ФЗ перед анкетированием. Как оказалось, по началу респонденты с большим энтузиазмом восприняли принятие нового закона. Так, практически все опрошенные специалисты (94%) убеждены, что России был просто необходим закон "О персональных данных". Против этой точки зрения выступили лишь 6%, из которых ровно половина (3%) сомневается в своем ответе.

Нужен ли России закон "О персональных данных" сегодня?

 Нужен ли России закон

Источник: InfoWatch и SecurityLab, 2007

Возможно, респондентам просто надоело находить свои персональные и особо чувствительные, например, финансовые сведения в общедоступных базах данных. Другими словами, проблема утечек и нелегальный оборот приватной информации стали больной мозолью общества. Именно поэтому принятие закона было встречено с радостью.

Требования к ИТ-безопасности

Руководителям организаций, специалистам в области ИТ и защиты информации следует ознакомиться с основными положениями нового ФЗ в сфере защиты персональных данных. Согласно ч.2 ст.5, "хранение [приватных сведений] должно осуществляться … не дольше, чем этого требуют цели их обработки", а "по достижении целей обработки или утраты необходимости в их достижении" чувствительная информация "подлежит уничтожению". Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, это является нарушением закона. Срок, в течение которого ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.

Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: "В случае если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности … и безопасности персональных данных при их обработке". Таким образом, на первый план выходит требование конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона. Согласно этой статье, "операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных". Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.

Однако особое внимание представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор "обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных" от целого ряда угроз. Среди них закон выделяет "неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия". Как указывает Олег Смолий, главный специалист управления по обеспечению безопасности "Внешторгбанка", отсюда следует, что представителям бизнеса необходимо обеспечить мониторинг всех операций, которые внутренние нарушители осуществляют с приватными данными клиентов и служащих. Более того, это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.