Когда мы перестанем читать о себе в Интернете?

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, день и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Такое определении вводит Закон "О персональных данных" (далее – ФЗ №152), принятый в 2006 году. Со времени принятия другого закона – "Об электронной цифровой подписи", – пожалуй, не было нормативного документа в области защиты информации, который бы вызвал на рынке такое оживление. Скоро ему уже исполнится три года, а он все еще бурно обсуждается сообществом.

История вопроса.

У вопроса действительно есть история, поскольку 28 января 1981 года, еще на заре создания Евросоюза, была принята конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Российская Федерация присоединилась к конвенции в Страсбурге 7 ноября 2001 года, и с тех пор, как видим, еще 5 лет ушло на разработку этого закона.

Персональные данные в современном обществе накапливаются неизбежно, причем в самых неожиданных местах. Масштаб этого накопления огромен. На нижнем уровне – школьные журналы (данные не только о детях, но и о родителях, телефонах, домашних адресах), вахтенные талмуды охранников (Ф.И.О., паспортные данные, когда и к кому прошел), кассовые терминалы в магазине (если вы расплачиваетесь кредитной картой, по сути, фиксируется не только то, что куплено, но и когда, и где находился человек). На верхнем уровне – базы данных операторов связи, органов государственной власти. А между ними – бесчисленное множество корпоративных и ведомственных информационных систем.

Поэтому, когда в прессе появляются оценки о том, что в России существует около 3 млн. операторов персональных данных, специалистов это не удивляет. То, что количество операторов сопоставимо с количеством граждан (!), здравому смыслу не противоречит.

Конечно, есть Конституция, ст.23 которой утверждает право граждан на неприкосновенность частной жизни, личную и семейную тайну, право на тайну переписки, а ст.24 ясно запрещает "сбор, хранение, использование и распространение информации о частной жизни лица". Однако механизм реализации такого права возможен только в более частных законах.

Впервые понятие "персональные данные" появилось в Законе "Об информации, информатизации и защите информации"*, где оно без специальной дефиниции приравнено к понятию "информация о гражданах". Тот Закон только констатировал необходимость защиты такой информации, указывая на необходимость лицензирования средств защиты, хотя не вполне понятно, какими средствами такая защита может быть осуществлена.

ФЗ №152 как раз ввел четкую терминологию, связанную с обработкой персональных данных, в т.ч. определил понятие оператора персональных данных. Законом введены специальные категории персональных данных: обезличенные, общедоступные, биометрические; определены принципы и условия обработки, права субъекта персональных данных и обязанности оператора. Вводятся и определенные исключения (например, на согласие субъекта персональных данных на обработку информации о нем), чтобы не доводить ситуацию до абсурда (накрывать им, в частности, популярные интернет-службы) и тем самым не переводить де-факто сам Закон в разряд необязательных или (что еще хуже) избирательных.

В соответствии с Законом, меры по обеспечению безопасности персональных данных при их обработке теперь обязан принимать оператор. Эти меры должны обеспечивать защиту информации о гражданах от неправомерного или случайного доступа к ней, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Требования к обеспечению безопасности персональных данных устанавливает Правительство РФ, а контроль и надзор в этой области осуществляются ФСБ и ФСТЭК России**. Уполномоченным органом по защите прав субъектов персональных данных назначена Россвязьохранкультура.

Ключевым элементом здесь является система конкретных требований к операторам персональных данных, которые этот Закон передал в компетенцию соответствующих органов: ФСТЭК, ФСБ России, Мининформсвязи. В результате появились методические материалы ФСТЭК ("Базовая модель угроз безопасности...", "Методика определения актуальных угроз...", "Основные мероприятия по организации и техническому обеспечению безопасности..." – все документы утверждены 15 февраля 2008 года). Интересно, что все документы имеют статус ДСП (юридически весьма размытый), и продаются только во ФСТЭК. Практически одновременно (21 февраля 2008 года) появились и материалы ФСБ России*** – "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных..." и "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств...".

Важным является и подписанный 13 февраля 2008 года так называемый приказ трех – Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ "Об утверждении Порядка проведения классификации информационных систем персональных данных" №55/86/20. Документ представляет собой методическую рекомендацию по классификации информационных систем. Именно классификация должна стать первым шагом в выстраивании системы защиты персональных данных. Причем классификация информационной системы, обрабатывающей персональные данные, в соответствии с нормативной базой проводится самим оператором. Так, например, вводятся четыре категории персональных данных: от 1-й – самой подробной, касающейся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни и т.д., до 4-й – обезличенных или общедоступных данных, т.е. полученных с письменного согласия субъекта. При классификации учитывается также объем персональных данных (менее тысячи, от одной до 100 тыс., более 100 тыс.), наличие подключений к внешним сетям, нахождение элементов информационной системы за пределами РФ и другие факторы. Информационные системы делятся на типовые (где требуется только обеспечение конфиденциальности данных) и специальные.

Будет ли сдвиг?

Вопрос об эффективности этого Закона вызывает споры среди специалистов, что подтверждается, например, дискуссиями, которые несколько лет идут на конференции "Рускрипто". Заметно оживление и на рынке: крупные системные интеграторы и компании, специализирующиеся на защите информации, уже предложили услуги защиты персональных данных. Разумно. Кому, как не им, имеющим опыт и понимающим специфику работы заказчиков, этим заниматься. В область персональных данных "подкручены" в чисто маркетинговом плане и традиционные средства защиты информации: средства шифрования, защиты от НСД и другие. Возникла информационная аура: учебные центры предлагают курсы, юристы – консультации, журналисты – публикации. И все это весьма полезно, лишь бы ярлык "персональные данные" не навяз в зубах как знакомые всем обороты "только из натуральных продуктов", "не содержит холестерина", "не содержит ГМО".

Сам по себе закон, конечно, не может создать в одночасье ту культуру и ответственность в обработке персональных данных (да и вообще в защите информации), что существует в цивилизованных странах.

В защите информации, как в любой борьбе, решающее значение имеет "цена игры" – понятие математическое. Любой здравомыслящий участник ввязывается в игру, только если средний выигрыш будет не меньше среднего проигрыша. Как это относится к персональным данным? Персональные данные – во всех странах лакомый кусок для криминальных структур; чем больше база данных, тем она ценнее. Ее можно и продавать (пиратские диски, сайты для наведения справок, просто услуги), и использовать по прямому назначению (кража денег с банковских карт через покупку и сбыт товаров, различные виды мошенничества). Какова здесь "цена игры"? Конечно, нельзя сосчитать ни выигрыш, ни проигрыш, но без всякой математики понятно, что если при удачном исходе криминал получает миллионные прибыли, а при неудачном раскладе ничего не теряет (ну разве что сдаст правоохранительным органам несколько "пешек"), то игра стоит свеч.

С 2010 года нам обещают глобальную защиту персональных данных среди телефонных операторов. Вспомним, как постепенно на развалах появлялись диски с базами МГТС (середина 90-х), "Билайна" (1996, 2004), "МТС" (2002), в 2003 году на пиратских дисках появились базы всех (!) абонентов питерских операторов: "МегаФон", "Дельта Телеком", "Телеком XXI", FORA, "Северо-Западный Телеком" и "Петерстар" (всего около 5 млн. записей). А после кражи баз данных Пенсионного фонда московского и других регионов (2005–2006), базы данных ГИБДД (2005) можно говорить о том, что в настоящее время общедоступными являются персональные данные (той или иной, конечно, степени подробности) о как минимум 70-80% граждан, включая детей и пожилых людей. Во всех этих случаях базы данных украдены с использованием обычных носителей информации далеко не рядовыми сотрудниками соответствующих организаций. О каких-либо последствиях для виновных ничего не известно (за исключением каких-то оргвыводов). Да и нет прямой юридической ответственности за разглашение персональных данных, ведь даже производителей пиратских дисков нельзя, например, привлечь по обычной для этого случая ст.146 ("Нарушение авторских и смежных прав"). Это преступление нельзя подвести и под другие статьи УК РФ: ни под кражу, ни под компьютерные преступления (ст.272–274), ни под нарушение тайны переписки (ст.138), ни под незаконное предпринимательство (обработка персональных данных не подлежит обязательному лицензированию). Хотя Мининформсвязи еще в 2005 году предлагало ввести уголовную ответственность за незаконный сбор и разглашение персональных данных. Так что никакой иной ответственности с введением нового закона пока не появляется.

Не появится, само собой, и никаких новых средств защиты информации. Они давно уже известны: разграничение доступа, шифрование, аутентификация, регистрация действий пользователей, ограничение использования съемных носителей, контроль интернет-соединений. Если бы закон был принят десять лет назад – могло бы это предотвратить перечисленные громкие случаи? Вопрос открытый, мы сможем лишь наблюдать, как изменится статистика утечек персональных данных с 2010 года.

Впрочем, попытаемся чуть заглянуть в будущее. В Германии, например, персональные данные защищают давно и по-немецки методично. Это не помешало появлению в декабре прошлого года на черном рынке банковских (а не просто личных) данных 21 млн. (!) жителей Германии. По предварительной информации, следы ведут к небольшим call-центрам, чьими услугами пользуются телекоммуникационные операторы и предприятия ЖКХ. Вот вам и "преимущества" аутсорсинга. Не прошло и полгода – новый скандал: в конце марта глава крупнейшего и успешнейшего немецкого предприятия Deutsche Bahn Хартмут Медорн лично санкционировал сбор данных о 174 тыс. сотрудников железнодорожного гиганта. Цель, кстати, была благая: боролись с корпоративной коррупцией и даже выявили около 300 нарушений. Глава Deutsche Bahn подал в отставку, а компанию ждет штраф в 250 тыс. евро.

Таким образом, ФЗ №152 – не панацея, его следует рассматривать как часть движения к культуре работы с информацией вообще и с персональными данным в частности. Логическим продолжением этого движения (от положений Конституции через фиксацию понятий к конкретным требованиям и методикам) должно стать ужесточение ответственности за умышленное разглашение персональных данных, особенно если это способно нанести ущерб гражданам. Необходимо добиться и того, чтобы инциденты в этой области могли угрожать репутации компаний и конкретных людей.

P.S. По данным исследования SecurityLab, которое было проведено в октябре-ноябре 2006 года, 96% респондентов приветствовали появление закона, но только 60% верили в его действенность.

Автор статьи: Сергей Баричев

* В 2006 году утратил силу с появлением нового Закона "Об информации, информационных технологиях и защите информации".

** Федеральная служба по техническому и экспортному контролю, правопреемник Гостехкомиссии при Президенте РФ.

*** В отличие от ФСТЭК, "методички" ФСБ России – общедоступные, их можно найти, например, на сайте infosec.ru, где уже долгое время поддерживается полная и актуальная база нормативных документов в области защиты информации.

Tweet