Закон «О персональных данных» был принят летом 2006 года. Кажется, что у всех заинтересованных организаций было время на подготовку. Однако, как показали проверки регуляторов, анкетирование членов банковских, страховых и других отраслевых ассоциаций, а также состоявшиеся 20 октября 2009 года парламентские слушания, ни один оператор как в госсекторе, так и среди коммерческих организаций не готов к исполнению закона на 100%. Между тем информационные системы персональных данных должны быть приведены в соответствие с требованиями № 152-ФЗ до 1 января 2010 года.

Требования срочные и противоречивые

По словам Андрея Грициенко, начальника службы информационной безопасности банка «Возрождение», если внимательно изучить документы регуляторов — ФСБ, ФСТЭК и Роскомнадзора — получается, что за оставшееся до начала 2010 года время весь комплекс информационных систем бизнеса и госсектора должен каким-то волшебным образом поднять степень защищенности на несколько порядков, причем всем организациям придется поломать голову, где взять столько средств.

Более 60% всех операторов — учреждения социальной сферы, здравоохранения, образования, ЖКХ. Во многих госструктурах — операторах персональных данных, по выражению сотрудника 8-го центра ФСБ Александра Бодрова, «даже такого понятия, как IT, не знают». У них нет ни средств на внедрение современных информационных систем, ни специалистов по информационной безопасности. В государственном бюджете 2009 и 2010 годов не предусмотрено соответствующих статей расходов.

Коммерческие организации в ментальном плане готовы лучше, но не могут добиться от регуляторов четких технических требований, которые нужно соблюдать. Та подзаконная база, которая имелась в распоряжении банков в ноябре, создает затратный и противоречивый механизм. Не учитываются отраслевые особенности. Кроме того, регуляторы готовят нормативные документы по отдельности, не согласовывая их между собой.

Перед банками стоит задача соответствовать сразу многим стандартам и в то же время сохранить нормальную бизнес-деятельность и обеспечить прибыльность.

К тому же нормативные документы трактуются неодинаково в разных частях страны. В регионах операторы персональных данных уже сталкиваются с невыполнимыми предписаниями Роскомнадзора, приходится судиться. Суды принимают сторону операторов данных, но тяжбы весьма затратны.

Умножая количество регуляторов на количество субъектов РФ, в которых представлены филиалы организации, банкиры приходят в ужас. Артем Сычев, начальник управления информационной безопасности Россельхозбанка, иронизирует: перед банками стоит задача соответствовать сразу многим стандартам и в то же время сохранить нормальную бизнес-деятельность и обеспечить прибыльность.

Андрей Емелин, исполнительный вице-президент АРБ по правовым вопросам, сетует, что до 1 января 2010 года осталось мало времени, а ситуация остается крайне сложной и тяжело доводимой до требуемого состояния. И это при том, что у банков, в отличие от других операторов персональных данных, есть работающие отраслевые стандарты.

Основные понятия, используемые в №152-ФЗ «О персональных данных»

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Банки уже умеют защищаться

Банковская система в целом справляется с угрозами информационной безопасности. Если сравнить количество операций, совершаемых ежесекундно, с количеством неприятных инцидентов, получится очень небольшая цифра, отмечает Андрей Курило, заместитель начальника Главного управления безопасности и защиты информации Банка России. Банки работают не только по внутренним стандартам, но и по МСФО, и применяют лучшие практики по безопасности. Но закон их как бы обесценивает, обесценивает, и требует наложить на них новые средства защиты, что потребует больших затрат.

Андрей Грициенко (банк «Возрождение») отмечает, что ЦБ ведет длительную и весьма аккуратную, без перегибов, работу по внедрению стандартов, давая банкам четкие ориентиры. А использование рискоориентированного подхода ставит банки в выгодное положение по сравнению с другими операторами, у которых нет таких стандартов. По оценке эксперта, первая сотня российских банков выполнит требования регуляторов по защите персональных данных на 50–60%. Но как быть другим банкам, которым в условиях кризиса приходится создавать резервы за счет прибыли и работать в убыток? Громадные деньги на перестройку информационных систем просто неоткуда взять.

Что говорят регуляторы?

В соответствии с законом при передаче данных по открытым каналам оператор сам решает, использовать ли криптографические средства для защиты информации. В этом пункте есть некоторое лукавство: иных способов защиты не существует. А ФСБ требует, чтобы применяемые средства криптозащиты были сертифицированы. Внедрение сертифицированного программного обеспечения повлечет новые затраты и внесет риск нарушения беспрерывности деятельности организации.

Ведомство уже начало проверки и столкнулось с типичной ситуацией: оператор данных заявляет, что ПО прошло сертификацию, однако зачастую это не соответствует действительности — из-за неаккуратной работы разработчика. Организация заказала у поставщика криптосредства, он их установил, все работает, а через некоторое время вендор обновляет версию программы. По словам Александра Бодрова (ФСБ), после этого «с большой долей вероятности у вас стоит несертифицированное средство».

Разработчики грешат тем, что выпускают программные продукты, в которых много и недоделок, — не с точки зрения защиты данных, а в части удобства для пользователей. Эти сырые версии отправляют на сертификацию. Затем вендоры находят и исправляют «баги», при этом зачастую существенно меняя продукт, и это вызывает нарекания со стороны ФСБ.

Первая сотня российских банков выполнит требования регуляторов по защите персональных данных на 50–60%.

В связи с этим Андрей Бажин, руководитель департамента информационной безопасности «Уралсиба», советует банковским подразделениям наращивать собственную компетенцию и внимательно относиться к заявлениям вендоров о том, что все требования №152-ФЗ для их систем соблюдены.

По мнению участников рынка, у ФСБ довольно адекватные требования по сравнению с другими регуляторами. А вот с Роскомнадзором пока сложнее обсуждать проблемы. По мнению Артема Сычева (Россельхозбанк), проект административного регламента Роскомнадзора не совсем корректно описывает те функции, которые находятся в компетенции ведомства и привносит определенные проблемы в деятельность банка, в частности предусмотрено заполнение излишних, исходя из банковской практики, документов.

В связи с этим Андрей Курило (ЦБ РФ) призывает банки письменно обращаться в Роскомнадзор и инициировать обсуждение болевых точек на консультационном комитете при ведомстве. Он обещает приложить все усилия, чтобы согласовать стандарты безопасности ЦБ с Роскомнадзором.

Регуляторы в сфере обработки персональных данных

Роскомнадзор (Федеральная служба по надзору в сфере связи и массовых коммуникаций) осуществляет контроль и надзор за соответствием обработки персональных данных требованиям законодательства.

ФСТЭК России (Федеральная служба по техническому и экспортному контролю) осуществляет межотраслевую координацию и функциональное регулирование деятельности по обеспечению защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную или служебную тайну, от ее утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию и по противодействию техническим средствам разведки на территории РФ.

ФСБ РФ (Федеральная служба безопасности РФ) регулирует сферу использования криптографических средств защиты информации.

Как сблизить закон и реальность?

Банковское сообщество параллельно ведет работу по двум направлениям — корректировка закона (и в разрезе содержательных требований к обработке персональных данных, и в части технических требований к обеспечению безопасности) и разработка отраслевых стандартов.

Банки заинтересованы в том, чтобы изменить подзаконные акты в сторону повышения их эффективности и снижения стоимости их владения. В результате интенсивных консультаций и при активной позиции АРБ, ЦБ и регуляторов в области персональных данных удалось четко сформулировать вопросы, которые требуют оперативного решения в части улучшения законодательства. Задача — обеспечить, с одной стороны, защиту персональных данных граждан, а с другой — реализацию мер в той степени, которая не возлагает на бизнес дополнительных несоразмерных расходов.

Разделяя принципы закона о персональных данных, банкиры призывают учитывать те реалии, которые сложились в банковской отрасли на данный момент и которые позволяют действенно гарантировать права граждан, говорит Андрей Емелин (АРБ).

АРБ уже направила в Государственную Думу предложение о переносе срока вступления технических требований в силу и о передаче ЦБ полномочий в части регулирования проблем защиты персональных данных в банковской отрасли.

Остается надеяться, что ведомства, законодатели и профессиональные ассоциации успеют договориться до 1 января 2010 года. Иначе бизнес столкнется с еще одним налогом — на информационную безопасность.

Депутаты откликнулись на предложения АРБ

20 ноября Государственная Дума приняла в первом чтении проект федерального закона № 284213-5 «О внесении изменений в Федеральный закон «О персональных данных» (в части исключения требования об использовании криптографических средств защиты персональных данных и продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом). Возможно, банкиры получат еще один год на приведение технических систем к соответствию, а регуляторы за это время смогут упорядочить свои требования.