Чиновники встали на защиту персональных данных

Вопрос защиты информации уже давно интересовал чиновников, и соответствующий закон «О персональных данных» вступил в силу в январе нынешнего года. Недавно, вдобавок к нему, Премьер-министр РФ Виктор Зубков подписал «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Это Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах и становится таким образом нормативно-методической базой закона «О персональных данных».

По словам Виктора Сердюка, генерального директора ЗАО «ДиалогНаука», хотя закон и вступил в силу, на деле он еще не выполнялся в виду отсутствия утвержденных технических требований по защите персональной информации, которые  сейчас только появятся на свет. Однако он отметил: «По нашим оценкам, принятие такого закона позволило создать правовую основу для защиты персональной информации и уже значительно повысило интерес компаний к вопросам защиты информации».

Положение регламентирует методы и способы обеспечения безопасности данных, используемые средства защиты информации и вводит классификацию информационных систем, которая будет проведена совместно с Мининформсвязи РФ. Также в нем говорится о контрольно-тематических исследованиях, в рамках которых чиновники проверят существующие информационные системы на соответствие нормам безопасности при работе с персональными данными. Для этого в течении 3 месяцев Федеральная служба безопасности (ФСБ) и Федеральная служба по техническому и экспортному контролю (ФСТЭК) утвердят все необходимые нормативно-правовые акты и методические документы.

«По нашему мнению, в первую очередь разработка методических документов отразится на операторах персональных данных, которых могут обязать использовать дополнительные средства защиты, - рассказывает Виктор Сердюк. - В ряде случаев это может привести к необходимости внесения существенных изменений в существующую инфраструктуру информационной безопасности предприятия, что неминуемо связано с значительными затратами и инвестициями. Что же касается разработчиков, то на их деятельность это Положение, скорее всего, никак не повлияет, так как, по нашим оценкам, на российском рынке информационной безопасности уже имеется достаточно большое количество средств, способных обеспечить эффективную защиту персональных данных».

«В принципе, все требования, предъявляемые к программным средствам защиты информации, установлены уже достаточно давно, - комментирует появление Положения Гарри Кондаков, управляющий директор «Лаборатории Касперского» в России, странах СНГ и Балтии. - Еще в 1997 г. был принят Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» где персональные данные указаны в п.1. Также существуют различные руководящие документы Гостехкомиссии (ФСТЭК), которыми установлены конкретные требования к программным средствам защиты информации. Установлена процедура сертификации этих средств и определен уровень контроля, достаточный для защиты конфиденциальной информации - минимальный четвертый. Поэтому ничего для нас нового, наверное, придумано не будет.

Однако, настораживает тот факт, что, похоже, данные требования исполняют только отечественные разработчики. Например, в настоящее время ФНС России используется, программное средство защиты информации NOD 32 производства американской компании ESET, которое не имеет сертификата, достаточного для защиты конфиденциальной информации. Использование несертифицированных средств защиты информации является административным правонарушением (ст.13.12 КоАП РФ). Что, кого-то привлекли? Нет. В этой связи как нельзя более актуальна крылатая фраза, что "строгость российских законов смягчается необязательностью их исполнения". Если государственные органы, где содержатся персональные данные обо всех нас, и сейчас игнорируют установленные требования, то, соответственно, не вижу причин, что в будущем эти органы вдруг начнут соблюдать закон. Поэтому полагаю, что принятие всех этих постановлений никак не повлияет на деятельности разработчиков, пока ответственные лица органов государственной власти не поймут всей важности данного вопроса».