Эволюция в защите персональных данных

Тема защиты персональных данных (ПД), инициированная федеральным законом “О персональных данных” (ЗоПД) примерно пять лет назад, вновь обострилась в связи с внесением этим летом в закон новых поправок и введением его в полную силу.

О практике выполнения ЗоПД и его влиянии на защищенность ПД в стране генеральный директор компании LETA Андрей Конусов рассказал научному редактору PC Week/RE Валерию Васильеву.

PC Week: Стоило ли законодательно выделять ПД в отдельную категорию конфиденциальных данных?

Андрей Конусов: Мне кажется, что именно государство должно формулировать и предъявлять требования к защищенности данных о гражданах, относящихся к их частной жизни, и выделять их в особую категорию, потому что в отдельно взятой компании или организации такое выделение далеко не всегда согласуется с бизнес-целями.

Тот факт, что с принятием пять лет назад закона “О персональных данных” в стране в принципе начали заниматься защитой ПД, я считаю явлением положительным, несмотря на все коллизии, связанные с практикой исполнения этого закона. Выход ЗоПД имел, я бы сказал, историческое значение: он поменял отношение к ИБ в головах большинства людей. Те, кто до этого ничего не знал и не хотел знать про ИБ, кто полагал, что его она не касается, после принятия федерального закона вынуждены были повернуться к вопросам ИБ лицом и коренным образом изменить к ней свое отношение. Прежде всего важно то, что это произошло с руководителями структур самого разного профиля и масштаба.

PC Week: Каково ваше мнение об открытом письме группы экспертов российской ИТ-отрасли президенту РФ по поводу июльских изменений в ЗоПД?

А. К.: Как социально активное явление (хотя и с крайне малой вероятностью успеха) мне это импонирует. Как попытка остановить принятие ЗоПД и отправить его на очередную доработку вызывает возражение. Еще один перенос окончательно дискредитировал бы ценность закона. Не стоит забывать, что мы накануне выборов в Госдуму и президента страны, и если бы закон не приняли, то эпопея с его принятием, как мне представляется, была бы отложена еще года на полтора, что отодвинуло бы сроки реальной деятельности по защите ПД на неопределенное время.

Как специалист, работающий в области ИБ, я считаю, что у нас все еще есть достаточно возможностей для дальнейшей планомерной работы над ЗоПД. Я — за более эволюционный путь развития событий. Используя наработанный опыт, можно выходить на регуляторов с новой законодательной инициативой по дальнейшему изменению закона, основываясь на выявленных проблемах его применения. В последнее время уровень открытости регуляторов, их общения с представителями ИТ-рынка значительно вырос по сравнению с тем, что было пять лет назад.

PC Week: Сколько стоит соответствие закону “О персональных данных” для оператора ПД?

А. К.: В Интернете можно найти сравнение стоимости средств защиты информации разных производителей, которые законом определяются как обязательные для систем персональных данных различных классов. Но к организации защиты ПД я предлагаю подходить интеллектуально, а не формально. Выполнение ЗоПД “в лоб” обойдется дорого. Минимизировать затраты можно, грамотно составив модель угроз, прописав в ней только те риски, которые реальны для конкретной организации, документально обосновав неактуальность остальных и не покупая средства защиты от них.

В защите ПД далеко не всегда необходимо идти путем технических решений, можно, особенно в небольших компаниях, обойтись и организационными мерами. Это потребует от специалиста, ответственного в компании за ПД, внимательно разобраться в информации по теме защиты ПД, которой сейчас много, она хорошо проработана и структурирована. Сегодня компании, которые хотят самостоятельно понять, что нужно для выполнения требований ЗоПД, могут это сделать, в отличие от ситуации в 2008 г., когда уровень неопределенности был гораздо выше, чем сегодня, и даже от самых активных и компетентных представителей операторов ПД такое понимание требовало гораздо больших усилий.

Вместе с тем, исходя из опыта нашей компании, могу сказать, что для предприятия примерно с 1000 работников средний типовой проект по организации защиты ПД стоит 2,5—4 млн. руб. и длится от 4 до 8 мес. В результате заказчик получает консультационные услуги, требуемый законом комплект документации и минимально необходимый комплекс средств защиты. Напомню, что аналогичные работы пару лет назад стоили 4—7 млн. руб.

Не за горами время, когда появятся решения, приемлемые по цене и для малого бизнеса. LETA планирует до конца года запустить интернет-сервис для компаний со штатом в несколько десятков человек, с помощью которого они смогут привести свои корпоративные информационные системы в соответствие с требованиями ЗоПД. Стоимость такой услуги, как мы полагаем, не превысит 300 тыс. руб. Клиенты этого сервиса смогут покупать доступ к веб-порталу, через который, введя данные о компании с помощью интерактивных форм, будут получать адаптированные под свои компании и проверенные консультантами LETA требуемые законом документы и рекомендации по установке и настройке необходимого оборудования. Акцент в этой услуге сделан на жесткую минимизацию стоимости соответствия требованиям закона. Поэтому будет предусмотрено несколько вариантов услуги, самый дешевый из которых позволит воспользоваться ею и за 150 тыс. руб.

PC Week: А сколько стоит для разработчиков сертификация ИБ-продуктов под требования ЗоПД?

А. К.: По государственному прейскуранту — несколько десятков тысяч рублей. Но основные деньги разработчик платит проводящим испытания лабораториям и консультантам, помогающим правильно подготовить набор документации.

Однако из-за того, что на процесс сертификации влияет множество факторов, точные цифры назвать трудно. Начнем с того, что к зарубежным производителям, особенно к крупным, отношение со стороны уполномоченных структур более строгое, прежде всего в отношении проверок на наличие недекларированных возможностей, их продукты изучают более детально и соответственно дольше, чем продукты отечественных разработчиков. По опыту LETA, сертификация отдельного ИБ-решения стоит начиная от 1 млн. руб., причем знаю, что над сертификацией некоторых решений бьются годами. Правда, можно и сэкономить, если иметь в штате своих искушенных специалистов, а испытательное оборудование взять в аренду.

PC Week: Какова сегодня среди операторов ПД доля тех, кто соответствует требованиям ЗоПД?

А. К.: Думаю, не более 10% от их общего количества, хотя пару лет назад она с трудом доходила до 1%. Но операторов ПД все же следует сегментировать по размеру бизнеса, потому как среди крупных компаний требования закона выполняет больше половины, из числа средних компаний (с количеством персонала около 1000 человек) таковых 20—25%, а из числа малых компаний, соответствующих закону, может, и 1% не наберется.

PC Week: А как выглядят портреты операторов-“конформистов” и операторов-“уклонистов"?

А. К.: Нужно признать, что полноценное исполнение ЗоПД требует солидного финансирования. Поэтому соответствовать ему стараются представители тех отраслей, в которых, с одной стороны, по роду бизнеса обрабатываются большие объемы ПД, а с другой — достаточно прибыли, чтобы следовать закону. Это — телеком, банки, страховые компании, в меньшей степени — представители финансово-промышленных группировок, негосударственные пенсионные фонды, крупные коммерческие медицинские учреждения.

Насколько мне известно, в структурах, финансируемых из госбюджета, в достаточном объеме бюджетная поддержка выполнения требований ЗоПД не обеспечена, т. е. государство, издав закон, не озаботилось созданием условий для его реализации даже внутри самого себя. Хотя не все руководители в госструктурах заняли формальную позицию — ничего не предпринимать с защитой ПД до той поры, пока на это не будут выделены целевые бюджетные средства. Среди них нашлись и такие, которые сумели грамотно обосновать затраты на исполнение закона в рамках бюджетов, этого не предусматривающих.

Вместе с тем не стоит забывать о том, что госструктуры — далеко не самые неискушенные в области ИБ. Ведь определенного уровня требования к защите информации и следование этим требованиям там были всегда, и появление еще одной категории данных — ПД — для них не стало диковинным. Крупные коммерческие предприятия, которые сумели привлечь к работе квалифицированные кадры из государственных силовых структур, тоже наладили защиту своих данных и делают это по большей части даже лучше, чем государственные. Но вот компании сегмента СМБ меня поражают. Два-три года назад во многих из них, даже в тех, где численность персонала достигает 1000 человек, максимальным уровнем ИБ был лицензионный антивирус. Только упоминание о ЗоПД, с проверкой исполнения которого могут прийти к каждому оператору ПД, заставляет их озаботиться вопросами ИБ. Свое игнорирование задач ИБ они объясняют просто: у нас нет такой информации, из-за утечки которой мы можем пострадать, даже потеря клиентской базы для нас не критична, да и с проверками регуляторы, авось, именно к нам не придут — нас таких много.

Любой руководитель компании исходит в своих решениях из экономической целесообразности, и до тех пор, пока не будет введена серьезная ответственность за утечки ПД, компаниям нет смысла честно оценивать состояние с их защищенностью и вкладываться не формальное соответствие, а в закрывание реальных брешей, через которые утечки могут случаться.

В большинстве стран, поддерживающих Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, установлены значительные штрафы за утечки ПД, зато нет жестких требований к тому, какими способами этого не допускать. Действующие в этих странах законы требуют публиковать факты утечек, и за их утаивание наказывают еще более сурово, чем за сами утечки.

PC Week: Насколько сегодня адекватна причиняемому утечками ущербу компенсация, выплачиваемая субъектам ПД, в случае утечек?

А. К.: На мой взгляд, практика выплаты компенсаций частным лицам за утечки ПД сегодня просто ничтожна. Гражданам получить что-либо с виновных в утечках очень сложно. В случае возмещения ущерба нужно обосновывать причинно-следственную связь утечки с понесенным ущербом. Дело это непростое. Гораздо проще выявлять факты утечек и наказывать за них операторов ПД. Я бы, скорее, рассматривал не механизмы компенсации ущерба субъектам ПД, а наказание государством за утечки, прежде всего крупные.

Нужно отметить, что чехарда с двойным переносом сроков вступления закона в силу заметно подорвала его авторитет, и летом были ожидания, что его опять перенесут. Готовились редакции закона, подразумевающие большие послабления для коммерческих структур. И в этом году никто особенно не спешил отстраивать свои информационные системы под ЗоПД. Однако сегодня закон принят, известно и понятно в какой редакции. Думаю, что многие из тех, кто занимал выжидательную позицию, срочно захотят “соответствовать”, и в этом я вижу большую проблему для них, потому что ресурсов грамотных интеграторов не хватит на такой всплеск спроса.