Бизнес выступил против бесконтрольных правок силовиков в базах персональных данных
Прямой доступ силовых структур к информационным системам, который планирует ввести правительство ради защиты «значимых персональных данных», нарушит их целостность и создаст для бизнеса угрозу нарушения других законов, считают в Ассоциации больших данных. Произвольные правки могут нарушить работоспособность информсистем, предупредили эксперты
Ассоциация больших данных (АБД, куда входят «Яндекс», VK, «Ростелеком», «Мегафон» и другие) выступила против прямого доступа силовых структур к базам персональных данных и их редактированию. Об этом пишет «Коммерсантъ» со ссылкой на отзыв АБД на правительственный законопроект, который предусматривает возможность изымать и редактировать чувствительные поля в информационных системах. Он был внесен в Госдуму в августе.
Поправки к ряду федеральных законов («О ФСБ», «О государственной защите судей…», «О полиции» и т. п.) оговаривают особый порядок работы с персональными данными лиц из ряда категорий. Силовые ведомства смогут удалять и подменять записи, связанные с такими людьми, в том числе посредством удаленного доступа к базам. Возможность модификации информации и «бесконтрольный доступ органов обороны и правопорядка» к базам персональных данных может нарушить их работу и целостность, а также создает риски передачи сведений третьим лицам, говорится в отзыве.
В АБД отмечают, что это приведет к административному и уголовному преследованию лиц, ответственных за базы данных, из-за противоречия с другими требованиями, в том числе к банкам и субъектам критической информационной инфраструктуры (КИИ). АБД возражает и против обязанности уведомлять органы власти о появлении в базах «сведений о ведомственной принадлежности» людей. Непонятно, что относится к таким сведениям, поясняют в ассоциации.
Ассоциация просит или исключить положения об удаленном доступе силовых структур к базам данных, или оставить его только для государственных и муниципальных информсистем. Изъятие или модификация данных должны осуществляться не напрямую, а через отправку официальных запросов, «в том числе через выделенных работников операторов персональных данных, имеющих допуск к государственной тайне». Предложения были направлены в ФСБ, аппарат правительства и комитет Госдумы по информполитике 31 августа, сообщили в АБД. Совет Госдумы 18 сентября включил законопроект в программу работы в ноябре.
Прямой доступ к базам данных потенциально нарушает сразу три основных свойства информационной безопасности — конфиденциальность, целостность и доступность, отметил главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников. Угрозу для первого свойства создает наличие доступа к базе, для второго — возможность неавторизованных изменений. «В худшем случае приложение станет неработоспособным, и это будет уже нарушение третьего свойства», — сказал Овчинников.
Гендиректор Telecom Daily Денис Кусков полагает, что любая дополнительная возможность доступа к персональным данным создает риски. Если спорный законопроект будет принят, то «нужно организовать многоуровневый доступ к базам данным, с разными политиками и набором прав — на чтение, на изменение, на удаление», сказал эксперт. Компаниям, которые сейчас ведут публичные отчеты о запросах госорганов (в частности, «Яндекс» и «Хабр») необходимо предоставлять сведения и о подобном доступе, добавил он.