О персональных данных
Вступление
В уже далеком 2006 году в России был принят закон № 152 ФЗ «О персональных данных». Не будет преувеличением сказать, что данный закон является сильнейшим фактором воздействия на рынок информационной безопасности в России за всю историю его (рынка) существования. Дело в том, что этим законом государство фактически впервые потребовало от бизнеса выполнять какие-либо нормы по защите информации. Конечно, государство и раньше требовало соблюдения определённых стандартов в этой области. Существует система контролирующих и лицензирующих органов (например, ФСТЭК и ФСБ), работают масса производителей и интеграторов в области «государственной» защиты информации.
Что нового
Самой главной особенностью принятого закона является то, что ранее эти требования не относились абсолютно ко всем бизнес-структурам России. Требования по защите государственной тайны естественно относятся только к тем, кто обрабатывает такую информацию. Даже для банковских организаций стандарт Банка России фактически не является обязательным к исполнению. Новый закон прямо перечисляет тех, кому придется выполнять все установленные требования - это и юридические, и физические лица. При этом закон уже вступил в силу в 2006 (см. статью 25 Закона). Многие представители бизнеса ждут 1-го января 2010 года как дату официального вступления в силу требований закона, что является большой ошибкой. Точная цитата из текста Закона звучит так: «Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года». Не больше и не меньше! Требования закона отнюдь не исчерпываются требования к собственно информационным системам. Есть большое количество организационных мер обязательных к исполнению. Кроме того, если информационная система была создана «давно», то никаких отсрочек не действует. Каким образом юридическое лицо будет обосновывать дату создания информационной системы, закон, к сожалению, не уточняет. Общая структура требований не очень сложна: технические требования формулируют ФСТЭК и ФСБ, а организационные прописаны в законе и постановлениях правительства России №№ 781 и 687.
Проверки
Практика проверок соблюдения закона показывает, что регулирующие органы отнюдь не собираются ждать 2010 года. Роскомнадзор, а именно он является уполномоченным органом по проверкам соблюдения этого закона регулярно отчитывается о своей деятельности и передаче результатов в прокуратуру. Если раньше (в 2007 и 2008 годах) речь шла об административных правонарушениях, то теперь появляются примеры и уголовного преследования нарушителей. Исходя из анализа новостных сообщений мы делаем вывод, что в первую очередь проверкам подвергаются организации, обрабатывающие «чужие» персональные данные (то есть данные клиентов и сторонних лиц, а не собственных сотрудников, например). В первую очередь это банки, страховые компании, операторы связи (особенно сотовые и телефонные компании), туроператоры, медицинские учреждения (особенно негосударственные), учебные заведения. В качестве положительного момента можно отметить, что в настоящее время проверяющие органы готовы удовлетворить самим фактом начала работ по защите. То есть достаточно продемонстрировать хоть какие-то усилия в этой области, чтобы не понести материальных потерь.
Что делать?
Кто может помочь бизнесу в решении вновь возникшей проблемы? Практически все крупнейшие интеграторы в области информационной безопасности уже объявили о новой услуге «Защита персональных данных». К сожалению, технические требования к процессу защиты имеют большое количество недостатков. Самый главный, на наш взгляд, недостаток состоит в том, что требования и рекомендации не опубликованы открыто и имеют гриф ДСП (для служебного пользования). Насколько в принципе законно требовать исполнения документа, не прошедшего регистрацию в Минюсте, вопрос открыт, однако регулирующие органы противоречий тут не видят. Кроме того, эти требования весьма сложны к выполнению. Зачастую их просто невозможно выполнить, не перестраиваю всю информационную инфраструктуру предприятия. Чтобы не доводить дело до крайних случаев, бизнес будет вынужден выбирать из множества предложений наилучшее. Как понять, какой интегратор сможет обеспечить выполнение требований законодательства? И, даже более важный фактор, чью работу регулирующие органы признают соответствующей закону? На август 2009 года практически никто из интеграторов не спешит отчитываться об успешно завершенных проектах в этой области. Успешно завершенным мы считаем проект, который без замечаний прошел проверку Роскомнадзора, ФСТЭК и ФСБ. На многих круглых столах представители ФСТЭК заявляли, что критерием выбора интегратора для работы в области защиты персональных данных (с точки зрения ФСТЭКа, конечно) является наличие у него лицензии на деятельность по технической защите конфиденциальной информации. Вместе с тем, очевидно, что данной лицензией располагает большое количество организаций. Некоторые из этих организаций вообще не работают в области защиты информации. Кроме того, в технических требованиях написана рекомендация согласовывать проекты защиты крупных систем с представителями ФСТЭК. Понятно, что крупнейшие интеграторы обладают такой возможностью хотя бы в силу того, что сотрудничают со ФСТЭКом продолжительное время. Таким образом, рецепт стопроцентного успеха можно предложить такой: тщательно выбирать интегратора, фиксировать в договоре обязательность согласования проекта защиты с регуляторами и начинать работы немедленно.
Перспективы рынка
Чтобы оценить объем рынка защиты персональных данных, надо вспомнить, что защищать эти данные обязаны все, кто их имеет. Очевидно, что любое юридическое лицо в России имеет и обрабатывает персональные данные. В простейшем случае это кадровая и бухгалтерская информация собственных сотрудников. По информации ФНС России на 01.08.2009 зарегистрировано более 4.1 миллиона юридических лиц. Все они являются потенциальными клиентами на рынке защиты персональных данных. Никогда ранее рынок защиты информации не получал такой клиентской базы. Очевидно, что большая часть этих клиентов не может себе позволить дорогостоящих услуг и решений (вспомним хотя бы большую долю нелицензионного программно обеспечения в России, чтобы оценить их покупательскую способность). Вместе с тем минимальную стоимость работ и оборудования по приведению одного рабочего места в соответствие с требованиями закона можно оценить в пределах 20000 рублей (в самом простом случае). Кроме того, обязательно придется лицензировать всё имеющееся программно обеспечение. Таким образом, даже если считать, что каждое юридическое лицо имеет всего одно рабочее место для обработки персональных данных (что очевидно не так) – общая цифра составит 61,5 миллиарда рублей или более 1,7 миллиарда долларов США. И это только рынок защиты персональных данных, не считая остальных сегментов рынка информационной безопасности. Напомню, что по некоторым данным общая выручка компаний в области ИБ составляет миллиарды рублей. Очевидно, что такой рост рынка не обойдется без появления новых участников хотя бы потому, что совместных усилий всех существующих сегодня игроков не хватит для выполнения всех требуемых проектов. Также большой рынок получают производители средств защиты информации и сертификационные лаборатории ФСТЭК (дело в том, что для защиты персональных данных должны применяться сертифицированные средства защиты). К сожалению, существует опасность, что рынок превратиться в «рынок продавца». Сроки, установленные законодательством, уже фактически истекли, а многие потенциальные клиенты всё ещё ждут 1-го января 2010 года.
Управляющий партнер компании Pointlane
Королёв Алексей
В уже далеком 2006 году в России был принят закон № 152 ФЗ «О персональных данных». Не будет преувеличением сказать, что данный закон является сильнейшим фактором воздействия на рынок информационной безопасности в России за всю историю его (рынка) существования. Дело в том, что этим законом государство фактически впервые потребовало от бизнеса выполнять какие-либо нормы по защите информации. Конечно, государство и раньше требовало соблюдения определённых стандартов в этой области. Существует система контролирующих и лицензирующих органов (например, ФСТЭК и ФСБ), работают масса производителей и интеграторов в области «государственной» защиты информации.
Что нового
Самой главной особенностью принятого закона является то, что ранее эти требования не относились абсолютно ко всем бизнес-структурам России. Требования по защите государственной тайны естественно относятся только к тем, кто обрабатывает такую информацию. Даже для банковских организаций стандарт Банка России фактически не является обязательным к исполнению. Новый закон прямо перечисляет тех, кому придется выполнять все установленные требования - это и юридические, и физические лица. При этом закон уже вступил в силу в 2006 (см. статью 25 Закона). Многие представители бизнеса ждут 1-го января 2010 года как дату официального вступления в силу требований закона, что является большой ошибкой. Точная цитата из текста Закона звучит так: «Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года». Не больше и не меньше! Требования закона отнюдь не исчерпываются требования к собственно информационным системам. Есть большое количество организационных мер обязательных к исполнению. Кроме того, если информационная система была создана «давно», то никаких отсрочек не действует. Каким образом юридическое лицо будет обосновывать дату создания информационной системы, закон, к сожалению, не уточняет. Общая структура требований не очень сложна: технические требования формулируют ФСТЭК и ФСБ, а организационные прописаны в законе и постановлениях правительства России №№ 781 и 687.
Проверки
Практика проверок соблюдения закона показывает, что регулирующие органы отнюдь не собираются ждать 2010 года. Роскомнадзор, а именно он является уполномоченным органом по проверкам соблюдения этого закона регулярно отчитывается о своей деятельности и передаче результатов в прокуратуру. Если раньше (в 2007 и 2008 годах) речь шла об административных правонарушениях, то теперь появляются примеры и уголовного преследования нарушителей. Исходя из анализа новостных сообщений мы делаем вывод, что в первую очередь проверкам подвергаются организации, обрабатывающие «чужие» персональные данные (то есть данные клиентов и сторонних лиц, а не собственных сотрудников, например). В первую очередь это банки, страховые компании, операторы связи (особенно сотовые и телефонные компании), туроператоры, медицинские учреждения (особенно негосударственные), учебные заведения. В качестве положительного момента можно отметить, что в настоящее время проверяющие органы готовы удовлетворить самим фактом начала работ по защите. То есть достаточно продемонстрировать хоть какие-то усилия в этой области, чтобы не понести материальных потерь.
Что делать?
Кто может помочь бизнесу в решении вновь возникшей проблемы? Практически все крупнейшие интеграторы в области информационной безопасности уже объявили о новой услуге «Защита персональных данных». К сожалению, технические требования к процессу защиты имеют большое количество недостатков. Самый главный, на наш взгляд, недостаток состоит в том, что требования и рекомендации не опубликованы открыто и имеют гриф ДСП (для служебного пользования). Насколько в принципе законно требовать исполнения документа, не прошедшего регистрацию в Минюсте, вопрос открыт, однако регулирующие органы противоречий тут не видят. Кроме того, эти требования весьма сложны к выполнению. Зачастую их просто невозможно выполнить, не перестраиваю всю информационную инфраструктуру предприятия. Чтобы не доводить дело до крайних случаев, бизнес будет вынужден выбирать из множества предложений наилучшее. Как понять, какой интегратор сможет обеспечить выполнение требований законодательства? И, даже более важный фактор, чью работу регулирующие органы признают соответствующей закону? На август 2009 года практически никто из интеграторов не спешит отчитываться об успешно завершенных проектах в этой области. Успешно завершенным мы считаем проект, который без замечаний прошел проверку Роскомнадзора, ФСТЭК и ФСБ. На многих круглых столах представители ФСТЭК заявляли, что критерием выбора интегратора для работы в области защиты персональных данных (с точки зрения ФСТЭКа, конечно) является наличие у него лицензии на деятельность по технической защите конфиденциальной информации. Вместе с тем, очевидно, что данной лицензией располагает большое количество организаций. Некоторые из этих организаций вообще не работают в области защиты информации. Кроме того, в технических требованиях написана рекомендация согласовывать проекты защиты крупных систем с представителями ФСТЭК. Понятно, что крупнейшие интеграторы обладают такой возможностью хотя бы в силу того, что сотрудничают со ФСТЭКом продолжительное время. Таким образом, рецепт стопроцентного успеха можно предложить такой: тщательно выбирать интегратора, фиксировать в договоре обязательность согласования проекта защиты с регуляторами и начинать работы немедленно.
Перспективы рынка
Чтобы оценить объем рынка защиты персональных данных, надо вспомнить, что защищать эти данные обязаны все, кто их имеет. Очевидно, что любое юридическое лицо в России имеет и обрабатывает персональные данные. В простейшем случае это кадровая и бухгалтерская информация собственных сотрудников. По информации ФНС России на 01.08.2009 зарегистрировано более 4.1 миллиона юридических лиц. Все они являются потенциальными клиентами на рынке защиты персональных данных. Никогда ранее рынок защиты информации не получал такой клиентской базы. Очевидно, что большая часть этих клиентов не может себе позволить дорогостоящих услуг и решений (вспомним хотя бы большую долю нелицензионного программно обеспечения в России, чтобы оценить их покупательскую способность). Вместе с тем минимальную стоимость работ и оборудования по приведению одного рабочего места в соответствие с требованиями закона можно оценить в пределах 20000 рублей (в самом простом случае). Кроме того, обязательно придется лицензировать всё имеющееся программно обеспечение. Таким образом, даже если считать, что каждое юридическое лицо имеет всего одно рабочее место для обработки персональных данных (что очевидно не так) – общая цифра составит 61,5 миллиарда рублей или более 1,7 миллиарда долларов США. И это только рынок защиты персональных данных, не считая остальных сегментов рынка информационной безопасности. Напомню, что по некоторым данным общая выручка компаний в области ИБ составляет миллиарды рублей. Очевидно, что такой рост рынка не обойдется без появления новых участников хотя бы потому, что совместных усилий всех существующих сегодня игроков не хватит для выполнения всех требуемых проектов. Также большой рынок получают производители средств защиты информации и сертификационные лаборатории ФСТЭК (дело в том, что для защиты персональных данных должны применяться сертифицированные средства защиты). К сожалению, существует опасность, что рынок превратиться в «рынок продавца». Сроки, установленные законодательством, уже фактически истекли, а многие потенциальные клиенты всё ещё ждут 1-го января 2010 года.
Управляющий партнер компании Pointlane
Королёв Алексей
Отзывы и комментарии