Федеральный закон «о персональных данных» и проблемы его реализации Текст научной статьи по специальности «Право»

УДК 004.056 Е.Н. Созинова*

ФЕДЕРАЛЬНЫЙ ЗАКОН «О ПЕРСОНАЛЬНЫХ ДАННЫХ» И ПРОБЛЕМЫ ЕГО РЕАЛИЗАЦИИ

В статье рассматривается федеральный закон «О персональных данных» и проблемы, возникающие при реализации некоторых положений законопроекта. Особое внимание обращено на создание эффективной системы защиты персональных данных. Предложен алгоритм действий, позволяющий оптимизировать затраты и выполнить все требования нормативных документов.

Ключевые слова: персональные данные; конфиденциальность; защита информации;

информационная безопасность.

E.N. Sozinova

FEDERAL LAW «ON PERSONAL DATA» AND PROBLEMS OF ITS IMPLEMENTATION

The article deals with the federal law «On personal data» and the problems encountered in the implementation of certain provisions of the bill. Particular attention is paid to creating an effective system of protection of personal data. An algorithm is proposed which allows you to optimize the cost and meet all the requirements of normative documents.

Keywords: personal data; privacy; data protection; information security.

28 января 2011 года исполнилось ровно 30 лет с того момента, как была принята Европейская конвенция о защите физических лиц при автоматизированной обработке персональных данных. Информация о человеке имеет самую высокую ценность. Сегодня информация

- товар и орудие преступления в руках мошенников.

Проблема защиты персональных данных существует более 10 лет и, думается, она будет актуальна еще многие годы. Принятие специального закона диктовалось необходимостью исполнения Российской Федерацией положений международных договоров, общепринятых международных норм и принципов при сборе и использовании персональных данных, создания гарантий и правовых механизмов защиты прав на личную тайну и неприкосновенность частной жизни [1, а 23].

В конце июля 2006 года был принят федераль-

ный закон «О персональных данных» [2]. Этот закон частично действует уже пять лет. Введение в силу всех его положений неоднократно откладывалось. В декабре 2009 года Государственная Дума приняла закон «О внесении изменений в статьи 19 и 25 Федерального закона “О персональных данных”». Депутаты Госдумы согласились с тем, что операторы персональных данных еще не готовы к вступлению закона в полную силу. Кроме того, существовали технические трудности с реализацией некоторых положений законопро-

* Созинова Екатерина Николаевна, аспирант и ассистент кафедры мониторинга и прогнозирования информационных угроз Санкт-Петербургского государственного университета информационных технологий, механики и оптики. E-mail: [email protected] © Созинова Е.Н., 2011

Современная наука № 3 (6) 2011

Современная наука № 3 (6) 2011

екта. В результате, вступление закона в силу было перенесено с 1 января 2010 на 1 января 2011 года. Предполагалось, что за год будут решены технические трудности, а компании и организации приведут свои системы защиты в соответствие требованиям законодательства. Но в прошлом году ситуация существенно не изменилась. Более того, компании и организации заняли выжидательную позицию и фактически не вели каких-либо работ по созданию систем для защиты персональных данных - ждали новой отсрочки. И они ее получили. В конце декабря принятие рассматриваемого закона в полном объеме было перенесено на 1 июля 2011 года. В мае 2011 года депутаты решили не откладывать срок еще раз. Таким образом, федеральный закон «О персональных данных» вступил в силу с 1 июля 2011 года.

Ни один закон, касающийся защиты информации, не имел такого резонанса. Он привлек внимание широкой общественности к проблеме информационной безопасности (ИБ). Проблемы защиты информации, персональных данных (ПД) и необходимость их защиты обсуждались на различных уровнях самых различных сфер жизнедеятельности.

Требования рассматриваемого закона выражены следующим образом.

1. Защита персональных данных должна осуществляться в соответствии:

- с федеральным законом «О персональных данных» от 27 июля 2006 года № 152 ФЗ;

- постановлением Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2007 года № 781;

- постановлением Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15 сентября 2008 года № 687.

Федеральный закон «О персональных данных» предъявляет особые требования к безопасности персональных данных. Дополняет его приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

2. Контроль соблюдения закона о защите персональных данных могут осуществлять:

- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) осуществляет надзор и контроль за обработкой персональных данных;

- Федеральная служба по техническому и экспортному контролю, федеральный орган исполнительной власти России (ФСТЭК России) - осуществляет контроль и надзор за защитой информации в информационных системах (с использованием технических средств);

- Федеральная служба безопасности Российской Федерации (ФСБ России) - осуществляет контроль и надзор за защитой информации в информационных системах (с использованием криптографических средств).

Согласно законодательству РФ все юридические и физические лица, занимающиеся обработкой и хранением персональных данных, обязаны сохранять конфиденциальность данной информации, не допускать их разглашения. Нарушение закона влечет ответственность, предусмотренную законодательством. Требования к защите персональных данных от различных угроз, в том числе от угроз 1Т-безопасности, включены в рассматриваемый закон на уровне определений. Закон рассматривает неправомерный или случайный доступ к ПД, уничтожение, изменение, блокирование, копирование, распространение и другие неправомерные действия. Требования, описанные в ст. 19, кроме конфиденциальности затрагивают целостность ПД.

Закон «О персональных данных» касается абсолютно всех граждан, т. к. мы являемся «субъектами персональных данных» и нас условно можно разделить на две категории: пользователи и профессионалы. Пользователи - это те, кто работает с ПД и не занимается проблемой защиты информации, но попадает под требования рассматриваемого закона. Профессионалы - это те, кто профессионально занимается защитой информации, знает и учитывает все тонкости данной проблемы [1, с. 23].

Компании и организации все чаще сталкиваются с широким спектром существующих угроз: компьютерное мошенничество, компьютерные вирусы, взлом компьютерных систем, отказ в об-

служивании и т. д. Высокая зависимость от информационных ресурсов, объединение корпоративных сетей и сетей общего доступа и совместное использование информационных ресурсов повышают уязвимость от подобных угроз. Поскольку существующие информационные системы изначально не проектировались с необходимым уровнем защищенности, то основной задачей информационной безопасности является совершенствование защиты информационной инфраструктуры. Однако при этом следует отметить, что в большинстве случаев возможности ограничены.

Информационные технологии все шире используются и в криминальных целях, поскольку технологии становятся более доступными и, как следствие, стоимость атак на информационные системы снижается, а защита электронных информационных ресурсов обходится все дороже. С помощью информационных систем компаниям и организациям удается существенно снизить издержки на обслуживание клиентов, что, в свою очередь, обусловливает увеличение прибыли. Однако механизмы исполнения установленных регуляторами требований ведут к значительному удорожанию обслуживания. Чем выше уровень защиты данных, тем труднее их получить, т. к. усложняется архитектура соответствующих автоматизированных систем. В этой связи важно найти интегрированный подход или алгоритм действий, реализация которого позволит выполнить законные требования, но при этом не скажется отрицательно на деятельности и не приведет к удорожанию продуктов и услуг.

Важнейшей проблемой, стоящей перед руководством и службой безопасности, остается проблема внутренних угроз информационной безопасности, или, иными словами, проблема защиты информации от инсайдеров.

Представляется, что для реализации требований федерального закона «О персональных данных» необходимо:

- принятие ряда организационно-административных мер;

- создание комплексной системы защиты;

- внедрение определенных технических решений в сфере 1Т-безопасности;

Создание эффективной системы защиты ПД должно включать следующие основные этапы [3]:

- анализ оценки соответствия организации требованиям Закона о персональных данных;

- создание модели угроз безопасности персональных данных;

- создание модели нарушителя (в случае использования каналов связи для передачи информации);

- создание системы защиты информационной системы, которая занимается обработкой ПД;

- разработка организационно-распорядительной документации по защите персональных данных;

- соответствие информационной системы персональных данных требованиям безопасности информации.

Система защиты ПД должна включать следующие подсистемы [3]:

- антивирусной защиты (основная задача -выявление и блокировка вредоносного кода);

- разграничения доступа (цель - недопущение несанкционированного доступа к персональным данным. Данная подсистема выполняет функцию регистрации, учета, а также контроля целостности);

- криптографической защиты (цель - обеспечение конфиденциальности персональных данных в процессе их передачи по каналам связи);

- межсетевого экранирования (для фильтрации потенциально опасных данных, проходящих через межсетевой экран);

- обнаружения вторжений (цель - выявление и блокирование сетевых атак в информационной системе);

- анализа уязвимостей (цель - обнаруже-

ние уязвимостей в программном, аппаратном и телекоммуникационном обеспечении информационной системы, обрабатывающей

персональные данные).

Основные проблемы:

- ограниченность финансирования ИБ;

- дороговизна защиты;

- большие сроки ее реализации;

- несовершенство законодательной базы;

- жесткость и неприемлемость требований;

- несбалансированность интересов бизнеса и личности;

- лицензирование деятельности с использованием систем контроля защиты информации;

- сертификация систем защиты информации (СЗИ);

- аттестация объектов автоматизации.

Современная наука № 3 (6) 2011

Современная наука № 3 (6) 2011

Защита стоит средств, и подчас немалых. Многие компании и государственные органы уже давно защищают свои интересы (коммерческие и профессиональные) - строят систему защиты и вкладывают в нее деньги. Рынок ИБ показывает устойчивую тенденцию роста. Проведенные опросы показывают, что до половины компаний из разных отраслей в той или иной мере занимаются защитой, даже в условиях кризиса. Значит, можно сделать вывод, что в половине организаций защита уже имеется. А «чистых» информационных систем, которые обрабатывают только персональные данные, - нет.

Еще одна проблема - толкование закона и подзаконных актов. Закон о персональных данных очень «сырой», содержит много рамочных определений, что дает юристам широкие возможности для его толкования. Правоприменительная практика по этому закону незначительна, поэтому операторы персональных данных ждут от регулирующих органов каких-либо пояснений к закону. Пока же, в основном, все работают по наитию, исходя из собственного понимания этого документа.

Снижения стоимости защиты и сроков ее реализации можно добиться просто путем внимательного прочтения и применения предписаний нормативных документов - внимательная работа с документами дает весьма значительный эффект в плане правильного определения категории персональных данных и класса информационной системы.

При выборе системы защиты информации возникает дилемма: выполнить требования федерального законодательства, приобретя сертифицированное, но устаревшее СЗИ, либо приобрести СЗИ новейшей разработки и, соответственно, более эффективное, но не сертифицированное. Если выбран и уже приобретен не сертифицированный

Литература

вариант СЗИ, то необходима его последующая сертификация, после которой СЗИ лучше не станет, но станет гораздо дороже. При этом не следует забывать, что результат сертификации может оказаться отрицательным.

Персональные данные можно считать защищенными в случае, если соблюдены все требования по их технической защите, которые раскрыты в документах ФСТЭК и ФСБ. При защите ПД необходимо учитывать риски и угрозы, а также соблюдать баланс интересов бизнеса и личности. Обеспечение технической защиты ПД не должно мешать работе и развитию бизнеса, поэтому сегодня, как в аспекте информационной безопасности, так и с точки зрения обеспечения безопасности бизнеса, жизненно необходима комплексная система информационной безопасности, включающая не только технические, программные, но и организационные ресурсы. Создание подобной комплексной системы защиты может обойтись компании или организации значительно дешевле, чем ликвидация последствий угроз ИБ.

Очень сложно оценить уровень обеспечения ИБ российских компаний и организаций. Однако можно с уверенностью сказать, что за последнее время во многих из них стал применяться более системный и комплексный подход к защите информации.

В заключение следует отметить, что федеральный закон «О персональных данных» только набирает силу, многие его положения не до конца раскрыты, предстоит учиться жить и работать по новым для нашего общества нормам и правилам. Несомненно, что закон будет дорабатываться, изменяться и совершенствоваться с одной единственной целью - максимализации защиты интересов субъекта персональных данных.

1. Вихорев С. Эссе на тему Закона о персональных данных // Банковские технологии. - 2010. -№1. - С. 22-27

2. Федеральный закон «О персональных данных» от 27.07.06 № 152-ФЗ (в ред. от 27.12.09 № 363-ФЗ; от 23.12.10 № 359-ФЗ; от 25.07.11 № 261-ФЗ) // Собрание законодательства РФ. 2006. № 31. Ст. 3451; 2009. № 52. Ст. 6439; 2010. № 52. Ст. 6974; 2011. № 31. Ст. 4701.

3. Интервью. «Маленькие секреты важного Закона» // Журнал «Клуб главных бухгалтеров». -2010. - №11 // Ц^: www.top-personal.ru, свободный. Яз. Рус. (дата обращ. 03.02.2011).