Депутаты Госдумы передумали снижать требования по выполнению закона «О персональных данных», отказавшись от идеи предоставить коммерческим организациями самим выбирать меры защиты информационных систем. Участники рынка объясняют это лоббистскими усилиями регуляторов, а эксперты по безопасности написали открытое письмо президенту с просьбой отклонить законопроект в текущим виде.
Государственная Дума приняла в третьем, окончательном чтении поправки к закону «О персональных данных» (152-ФЗ), уточняющие ряд его понятий. Наибольшая интрига разгорелась вокруг 19 статьи «Меры по обеспечению безопасности персональных данных при их обработке», новая редакции которой была принята в двух различных вариантах в первом и втором чтениях поправок. Именно эта статья является наиболее важной для огромного числа российских компаний, осуществляющих автоматическую обработку данных о физических лицах (телеком-операторы, банки, туристические агентства, страховые компании и т.д. )
Действующая редакция закона обязывает операторов персональных данных соблюдать установленные правительством технические требования по защите информации. Правительство издало классификатор типов персональных данных в зависимости от количества субъектов данных и полноты информации о них. Непосредственно требования к защите информации устанавливают Федеральная служба безопасности (ФСБ) и Федеральная служба техническому и экспортному контролю (ФСТЭК), они же наделены правом контроля за выполнением этих требований.
Принятый в 2006 г. 152-ФЗ предоставлял отсрочку по введению данной нормы до 1 января 2010 г, впоследствии Госдума дважды продлевала этот срок, в ССЫЛКА последний раз – до 1 июля 2011 г. В мае депутаты решили не откладывать срок еще раз, но облегчить требования закона. Законопроект с поправками, внесенный председателем комитета Госдумы по финансовым рынкам Владиславом Резником и принятый в первом чтении, предполагал следующую редакцию статьи 19: правительство устанавливает требования к защите персональных данных только в государственных и муниципальных информационных системах в случаях, когда такая обработка данных предусмотрена законами.
Соответственно, ФСБ и ФСТЭК могли бы контролировать меры по защите информации только в этих системах. Кроме того, отдельный пункт статьи гласил, что оператор персональных данных и субъект этих данных (физическое лицо) могут сами договориться о принимаемых мерах защиты.
Однако во втором чтении депутаты одобрили поправку главы комитета по конституционному законодательству и государственному строительству Владимира Плигина, предложившего совсем иную редакцию статьи 19. Согласно принятому документу, правительство классифицирует уровни защиты информации, а требования к защите устанавливают ФСБ и ФСТЭК. Центробанк и отраслевые министерства могут принять нормативные акты, описывающие угрозы при обработке данных в соответствующих сферах, а отраслевые ассоциации и саморегулируемые организации могут дополнить перечь угроз. Все эти документы также подлежат согласованию с ФСБ и ФСТЭК.
Правительство также может определить перечь информационных систем, не относящихся к государственным и муниципальным, контроль за защитой информации в которых будут осуществлять ФСБ и ФСТЭК. Принятая редакция статьи 19 также налагает на операторов персональных данных ряд дополнительных требований: использовать сертифицированные средства защиты, оценивать эффективность используемых мер защиты до ввода информационной системы в эксплуатацию, устанавливать правила доступа к персональным данным и производить регистрацию всех действий с ними, обеспечивать восстановление информация в случае ее несанкционированного удаления.
Таким образом, законодатели не только передумали упрощать требования 152-ФЗ, но и ввели новые требования. Источник в крупной телекоммуникационной компании объясняет произошедшее лоббистскими усилиями ФСБ и ФСТЭК, поскольку аккредитованные при них структуры будут получать доход от сертификации систем обработки персональных данных. Если закон в таком виде вступит в силу, всем компаниям, обрабатывающим данные о физических лицах, придется смоделировать угрозы для соответствующих систем и внедрить комплекс технических мер защиты.
Речь идет об установке следующих подсистем: разграничения доступа, криптографической защиты информации, антивирусной защиты, обнаружения вторжений, анализа защищенности, аудита событий безопасности и межсетевого экранирования. Кроме того всем операторам необходимо пройти сертификацию уже имеющихся средств защиты информации и изменить архитектуру корпоративной информационной системы для реализации функций защиты. В результате, по подсчетам собеседника CNews, расходы на установку системы обработки персональных данных для разных компаний могут составлять от 10 до 200% годового оборота плюс операционные затраты на техническую поддержку системы защиты составят 10-15% от стоимости самих систем.
Экспертное сообщество ИБ-специалистов выразило свое недовольство принятым вариантом поправок в открытом письме президенту Дмитрию Медведеву, которое подписали Александр Бондаренко, Алексей Волков, Алексей Лукацкий, Александр Токаренко и Евгений Царев. “Российским операторам персональных данных законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества, — говорится в письме. — Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных”.
Далее эксперты отмечают, что операторы с большой вероятностью переложат расходы на субъектов персданных. В письме также отмечается, что законопроект не проходил антикоррупционную экспертизу. По мнению его авторов создаются предпосылки для вывода информационных систем за пределы России в страны Евросоюза, “где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта”. Подписанты просят президента отклонить законопроект, направить его на общественные слушания и доработку.
Источник: www.cnews.ru
