В прошлом году прокуратура Кировского района Ярославля возбудила дело против заместителя гендиректора кадрового агентства «Поиск». Причина — результаты проверки, которую провели чиновники Роскомназдора, уполномоченные контролировать выполнение закона №152-ФЗ «О персональных данных». Он вступил в силу в январе 2007 года, но предпринимателям дали время на «докрутку» информационных систем. Сначала до 1 января 2010 года, затем срок был увеличен еще на 1 год, теперь еще на полгода — до 1 июля 2011 года. Пока что наказание за невыполнение закона невелико, но проверки выполнения его требований уже идут. Например, все компании, которые работают с персональными данными (это более 5 млн фирм) должны подать заявку о регистрации в Роскомнадзор. Однако это сделали всего чуть более 175 000 компаний. Все остальные — формальные нарушители. Топ-менеджер «Поиска» отделался штрафом в 500 рублей. Однако с 1 июля 2011 года наказание за несоблюдение закона будет уже совершенно иным, а к проверкам вплотную подключатся ФСТЭК (Федеральная служба по техническому и экспортному контролю) и ФСБ.
«Четверокнижие» и другие требования
Закон был принят, поскольку Россия еще в 2001 году присоединилась к Конвенции о защите физических лиц при автоматизированной обработке персональных данных. Разъяснить технические требования к компаниям должны были документы ФСТЭК. В начале 2008 года служба выпустила четыре нормативных документа (известны как «четверокнижие») с подробными инструкциями по исполнению ФЗ-152. Но по факту они-то и создали противоречия. ФСТЭК всегда занималась охраной государственной тайны и по сути повторила в инструкциях режимные требования, предъявляемые к системам, обрабатывающим гостайну.
«Четверокнижие», например, предписывало устранять утечку информации по акустическому и виброакустическому каналам. То есть если в переговорной комнате идет совещание, где упоминаются персональные данные, предполагается, что за окном может подслушивать потенциальный нарушитель. Такую угрозу стоило устранять при помощи создания зашумления с помощью специальных приборов — например, пассивных акустических колонкок. Сейчас подобные угрозы уже не считаются актуальными, но все компании должны использовать средства информационной безопасности, которые получили сертификат ФСТЭК: он подтверждает соответствие IТ-решений требованиям ФЗ-152.
Требования двух других регуляторов — Роскомнадзора и ФСБ, — на первый взгляд, не так архаичны. Однако они предполагают наличие в штате компании специалиста по защите персональных данных, способного разобраться в многостраничных регламентах и подготовить минимальный набор документации. Таких людей готовят лицензиаты ФСТЭК и ФСБ России, а также более 30 обучающих центров по всей России. Опытных специалистов немного — их можно искать в штате системных интеграторов или крупных операторов связи. Зарплаты — от 40 000 рублей.
Пять вариантов выполнить закон
Вариант первый: заказать услугу у системных интеграторов
Заказать консалтинговую услугу и поставку «правильных» технических решений можно практически у любого системного интегратора. Таким путем, как правило, идут крупные компании. Чем заметнее компания, тем выше риск государственных проверок. По оценке участников рынка информационной безопасности, в 2010 году общая стоимость проектов по персональным данным составила более $110 млн.
При выборе исполнителя стоит убедиться, что у него есть активная практика в сфере информационной безопасности, а также необходимые лицензии ФСТЭК и ФСБ. Успех проекта должен оцениваться не подписанием акта приема-передачи, а результатом проверки регуляторами. Поэтому в договоре имеет смысл прописать ответственность поставщика услуги на случай, если, несмотря на проведенные работы, проверка ФСТЭК и ФСБ не будет пройдена. В противном случае компания несет ощутимые финансовые риски. Дополнительно можно устроить «перекрестный контроль» — заказать у другого системного интегратора аудит уже проведенных работ. Стоимость услуг зависит от отрасли, объема персональных данных и прочих факторов. Реализация даже небольшого проекта на трех офисных компьютерах с выходом в интернет потребует более 100 000 рублей. В большой компании со сложной распределенной системой высокого класса секретности проект может стоить до 100 млн рублей.
Вариант второй: своими силами
Самый дешевый вариант — самостоятельно подготовить документы, закупить средства защиты информации, своими силами их внедрить и даже самим продекларировать выполнение требований ФЗ-152. При этом помощь со стороны сведется к разовым консультациям специалистов. Сергей Петренко, эксперт по информационной безопасности компании «АйТи», отмечает, что такие услуги могут стоить до 36 000 рублей за день работы одного специалиста.
Вариант третий: снизить категорию информационной системы
В зависимости от характера обработки персональных данных информационной системе каждой компании присваивается класс от 1-го до 4-го. От этого зависят требования, которые государство предъявляет к организации. Возможный способ сократить бюджет на выполнение ФЗ-152 — снизить класс информационной системы в документации. В результате траты на выполнение ФЗ-152 будут существенно ниже. При этом существует риск, что при проверке Роскомнадзора, ФСТЭК или ФСБ подлог будет обнаружен.
Вариант четвертый: локализовать проблему
Этот способ хорош только для небольших компаний. Нужно провести анализ потоков персональных данных и сознательно ужать его до небольшого сегмента корпоративной сети. Защищать придется только его. Основной риск этого метода — не всегда удается доказать чиновникам адекватность и полноту принятых мер по защите персональных данных.
Вариант пятый: ничего не делать
Примеров серьезных последствий неисполнения закона пока не было. Самая строгая мера, которая применялась к нарушителям, — штраф до 10 000 рублей. Поэтому для небольшой компании до сих пор выгоднее было вообще ничего не предпринимать в отношении ФЗ-152. Однако с 1 июля 2011 года последствия будут более серьезными — в случае проверки ФСТЭК и ФСБ компанию могут лишить права заниматься основным видом деятельности и оштрафовать на сумму до 500 000 рублей. Более того, законом предусмотрен арест собственника бизнеса, лишение его свободы на срок до 5 лет и исправительные работы сроком до года. «В качестве первоочередных мер мы рекомендуем компаниям изучить план проверок, размещенный на официальном сайте Генпрокуратуры. Это поможет понять сроки плановых проверок, которые могут грозить организации», — советует Михаил Башлыков, руководитель направления информационной безопасности компании КРОК.
Трудности исполнения
Одним из путей решения проблемы с ФЗ-152 может стать формирование отраслевых стандартов. Так, Центробанк совместно с банковским сообществом разработал стандарт Банка России, который полностью соответствует требованиям ФЗ-152 и значительно упрощает банкам его выполнение. К стандарту сегодня присоединились более 600 кредитных организаций — это более половины всех банков России. По оценке Артема Сычева, начальника управления информационной безопасности Россельхозбанка, работы по приведению в соответствие с требованиями стандарта могут стоить от 1,5 млн рублей. Продолжительность такого проекта — не менее 3 лет. Привлечение внешнего консультанта в этом случае предпочтительно, однако не исключена возможность реализовать проект силами самого банка. Как правило, это зависит от уровня рисков и объемов бизнеса. Ряд отраслевых сообществ (страховщики, телеком, медицина) уже пошли по пути разработки отраслевых стандартов.
Дмитрий Романченко, директор по развитию направления «Информационная безопасность бизнес-систем» компании IBS, говорит, что сегодня рынок объективно не готов к ФЗ-152: «Это в равной мере относится как к государственному сектору, где просто не заложены бюджеты, так и к коммерческим организациям, где еще не все отошли от последствий кризиса и, как следствие, тотально сокращены издержки на IТ. Ситуация еще осложняется тем, что на рынке практически нет технических средств защиты информации, имеющих все необходимые сертификаты».
Михаил Башлыков, руководитель направления информационной безопасности компании КРОК, считает, что готовы к началу проверок менее 1% компаний. И дело в самом законе. Власть не просто заставляет защищать персональные данные, а говорит, как именно это делать. Предлагаемые методы защиты не работают, но стоят больших денег. К тому же выполнение требований, которые не привязаны к актуальным рискам, неэффективно. Компании вынуждены покупать зачастую плохие решения, у которых, кроме сертификата ФСТЭК, нет никаких рыночных преимуществ. К сожалению, основным мотивом, толкающим компании на проведение работ, является не стремление улучшить защиту данных граждан, а желание пройти проверку регуляторов.
На 2011 год запланировано 2929 проверок...