"Персональные данные в России-2009": что нового?

Владимир Ульянов, руководитель аналитического центра компании Perimetrix

ИССЛЕДОВАНИЕ

"Персональные данные в России-2008" привлекло особое внимание читателей нашего журнала и участников кон­ференции, проведенной компанией "Гротек" в сентябре 2008 г. Уже тогда представители большинства компаний отмечали, что защита персональных данных (ПДн) - одно из приори­тетных направлений в работе не только для специалистов по информационной безопасности, но и для представителей бизнеса. Нынешнее исследование наглядно показывает, что же изменилось за прошедший год. Действительно ли персональными данными занимались, или прошлогодние слова оказались пустой риторикой?

Ключевые выводы

• 64% респондентов по-прежнему уверены, что требование обязательного разглашения фактов утечки ПДн должно быть в ФЗ;
• уже 75% фирм (против 46% в 2008 г.) частично выполняют требования ФЗ № 152;
• 31% организаций не прово­дили мероприятий по повыше­нию защищенности ПДн за последний год;
• основными трудностями для проектов по защите ПДн являются бюджетные ограничения (30%) и нехватка квалифици­рованных кадров (31%);
• только 18% компаний используют для защиты персональных данных сертифицированные во ФСТЭК средства.

Методология исследования и портрет респондента

Исследование проводилось путем онлайн-анкетирования респондентов с 3 августа по 4 сентября 2009 г. В опросе приняли участие 287 специалистов и руководителей (преимущественно подразделений ИТ и ИБ).

Большую часть участников исследования снова составили представители ИТ- и телекоммуникационных компаний, финансовых институтов. Среди прочих отраслей заметную долю имеют медицинские учреждения и органы власти, то есть те организации, которые отличаются большим количеством обрабатываемых ПДн.

Вообще, говоря о портрете респондентов, стоит остановиться лишь на одном моменте. А именно: на появлении новой категории работников - специалистов по защите персональных данных. Для авторов исследования появление этой, пока еще немногочисленной, прослойки сотрудников служб безопасности было несколько неожиданным. Тем не менее экспресс-анализ популярных порталов по поиску работы показал, что подобные специалисты не только трудятся в отдельных компаниях, но и являются, в принципе, "товаром" дефицитным, востребованным. Что же, к разговору о специалистах по защите ПДн мы еще вернемся, а пока перейдем к основной части исследования.

Обработка персональных данных

И начнем мы, безусловно, с приятного момента, сообщив, что среди читателей журнала "Информационная безопасность" практически не осталось тех, кто думает, будто его организация персональные данные не обрабатывает и не подпадает под действие Закона "О персональных данных" (рис. 1). Кроме того, по сравнению с прошлым годом можно отметить увеличение доли (19 против 14%) "малых операторов" - компаний, обрабатывающих ПДн менее 1000 человек.

Следующий вопрос касается категорий сотрудников, которые имеют доступ к массивам ПДн. По данным мировой статистики по инцидентам, примерно 9 из 10 утечек происходят по вине собственного персонала компаний. Не только и даже не столько вследствие злого умысла, сколько из-за беспечности и халатности. Таким образом, чем больше людей работают с базами ПДн, тем выше риск утечки.

Отметим, что компании прислушались к нашим прошлогодним рекомендациям и лишили прав доступа к базам ПДн солидную долю "айтишников" (рис. 2). Все правильно, учитывая высокую общую численность ИТ-персонала и банальный фактор угрозы сокращения. Печальные истории мести несправедливо обиженных сисадминов были известны и ранее, однако в последний год с ростом числа увольнений сотрудники все чаще прибегают к тактике кражи корпоративных секретов "впрок". То есть даже в условиях, когда работника никто и не собирается увольнять, тот уже заранее, просто на всякий случай, пытается вынести с работы всю доступную ценную информацию. Причем даже не зная, как он сможет ею воспользоваться, да и сможет ли вообще. Продать конкурентам, шантажировать руководство, просто использовать на новом месте работы - это не важно, это все можно будет решить потом. Пока же главное - вынести данные.

Оговоримся, что проблема сокращений и увеличения числа утечек информации остро стоит не только для одних лишь ИТ-работников. Однако ИТ-персонал традиционно имеет широчайшие полномочия, а потому наиболее "опасен", как ни дико это прозвучит.

А вот урезать в правах топ-менеджмент так толком и не получилось. Очевидно, для руководителей баланс между безопасностью и удобством всегда решается в пользу второго фактора. Мало того что многие компании попросту не имеют специальных регламентов по работе с конфиденциальными данными, так еще и в тех организациях, где подобные документы приняты, не всякий сотрудник решится ограничить босса в правах, создавая тем самым себе же проблемы. Это подтверждает и практика консалтинговых проектов аналитического центра Perimetrix. Получается, менеджмент может быть действительно ограничен в доступе к информационным ресурсам лишь тогда, когда первое лицо в компании озабочено сохранностью секретов компании и отдает себе отчет в том, что лишние права только увеличивают риск утечек.

Законодательное регулирование защиты персональных данных

Переходя к части, касающейся законодательного регулирования, хочется сказать несколько слов о серьезных сдвигах, произошедших за прошедший год. ФЗ-152 наконец-то "оброс" рядом правительственных постановлений, министерских приказов и других подзаконных актов, дополняющих и поясняющих (впрочем, иногда, наоборот, запутывающих) положения основного документа. И уже ни у кого не возникает сомнений, что работа по данному направлению ведется серьезная, а сам федеральный закон не является формальной бумажкой в угоду иностранным политикам и правозащитникам, не упускающим шанса покритиковать Россию за отсутствие очередного общепринятого акта в защиту личности.

Оценивая текущее состояние дел своих компаний, заметно меньшее число респондентов (14 против 20% в 2008 г.) отрапортовало о том, что их компании полностью соответствуют требованиям закона (рис. 3). Неужели и правда, за прошедший год эти организации развалили существующую систему? Конечно же, нет. Просто сегодня специалисты более объективны и, наверное, лучше осведомлены об этих самых требованиях. Проще говоря, сняли розовые очки.

Вместе с тем с 46 до 75% возросло число тех предприятий, которые выполняют положения ФЗ-152 частично. Вот это уже похоже на реальные подвижки. Действительно, число не выполняющих требования фирм уменьшилось при мерно вдвое (с 11 до 5%). Кроме того, практически пропали респонденты, считающие, что защита ПДн на практике и ФЗ "О персональных данных" это вообще не связанные между собой вещи.

Говоря о степени влияния различных нормативных актов (рис. 4), респонденты безусловное лидерство отдают ФЗ "О персональных данных" (54%), который набрал на 9% больше голосов, чем в прошлом году (спасибо уточняющим инструкциям регуляторов). Второе место прочно занимают отраслевые нормативы. В данном случае следует помнить о том, что значительную долю участников исследования составляют кредитные организации, для которых, в частности, немаловажную роль играет стандарт Банка России "СТО БР ИББС" (новая версия которого вышла весной нынешнего года).

Ничтожные проценты, собранные зарубежными стандартами, легко объясняются следующими обстоятельствами. Если раньше нам попросту не хватало своих стандартов и поэтому ориентировались на западные, то теперь, с развитием отечественной законодательной базы, нет особого смысла слепо следовать за чужими практиками. Да и к защите ПДн упомянутые акты имеют достаточно опосредованное отношение.

Практические аспекты

Как обычно, самое интересное в исследованиях - это "слайды", то есть практические аспекты. Обратимся к ответам респондентов (рис. 5). Бросается в глаза, что почти две трети компаний уже завершили или проводят в настоящий момент мероприятия, направленные на повышение защищенности. Кажется, неплохо. Но с другой стороны, оставшаяся треть еще и не начинала мероприятий. Что это, традиционная русская надежда на "авось"?

Что же мешает компаниям в их попытках добиться соответствия закону (рис. 6)? Приятно отметить, что 11% по сравнению с прошлым годом потерял вариант "Не ясно, как реализовывать на практике". Значит, правительственные постановления и разъяснительная работа регуляторов дают свои плоды. Зато как скакнули бюджетные ограничения! Еще бы. Кризис, однако.

Но даже выше финансовых неурядиц оказалась нехватка квалифицированных кадров. 31 против 19% в прошлом году! Компании, реализующие мероприятия по повышению защищенности ПДн, явственно ощутили, что работать на этих проектах некому. Оттого и ищут фирмы специалистов по защите ПДн подолгу, оттого и готовы платить до 100 тыс. рублей в кризис. А ведь это именно специалисты, не менеджеры. Даешь голубые воротнички!

Последний вопрос исследования касался используемых средств для защиты ПДн (рис. 7). Ведь что-то применяют те 14% фирм, которые полностью соответствуют ФЗ, и еще 75% частично. Оказывается, только 18% внедрили средства, сертифицированные во ФСТЭК. Конечно, это немного, но буквально с каждым днем таких программных комплексов становится все больше и больше. Пока же большая часть компаний использует несертифицированные, в том числе и самописные, средства. Подчеркнем, что различия в сертификатах для различных классов информационных систем ПДн (ИСПДн) тут не делалось.

Заключение

Так работает ли закон сейчас? Пожалуй, что да. Может быть, в действиях контролирующих органов есть немалая доля "показухи", но свежий пу бличный пример должен убедить нас, граждан, в действенности закона. В конце августа 2009 г. "Российская газета" сообщила, о том, что за несанкционированное разглашение ПДн к ответственности привлечен... мэр одного из городов Пермского края. И ведь намерения-то у чиновника были самые что ни на есть благие - образумить нерадивых горожан, чьи долги за коммунальные платежи ставят под угрозу подготовку населенного пункта к отопительному сезону. И ведь сработало, многие должники квитанции оплатили. Тем не менее прокуратура города все равно возбудила административное дело. По своей инициативе. Хотя можно было ожидать, что с жалобой обратится и кто-то из скомпрометированных должников.

Ну что, решено, работает? Не будем спешить с выводами. Достаточно примеров обратных, когда имена, адреса и даже фотографии неплательщиков публично распространяются без какого-либо вмешательства со стороны прокуратуры или Роскомнадзора, что было бы даже более логично. Заинтересовавшихся отправим к другому свежему примеру - ситуации в городе Дзержинск Нижегородской области.

А что изменилось за последний год? Прежде всего, приблизился тот самый час "Х", 1 января 2010 г., когда все, даже самые старые (созданные до вступления в действие ФЗ № 152 "О персональных данных") ИСПДн должны быть приведены в соответствие с законом. В спор о магии этой даты, кстати, тоже хочется внести свои "пять копеек". Как справедливо отмечают отдельные эксперты, ФЗ уже вступил в силу, и проверки отдельных компаний ведутся. Те же комментаторы поэтому удивляются, чего же это все так боятся наступления 2010 г.? И все же что-то пугающее в году грядущем готовится. Наверняка в разы, а то и на порядки увеличится количество проверок со стороны Роскомнадзора, ужесточится или хотя бы будет точно определена ответственность за нарушения. Неспроста же, в конце концов, и Ассоциация российских банков готовит просьбу в Госдуму и Правительство РФ с тем, чтобы "критическую" дату приведения ИСПДн "в порядок" перенести... еще хотя бы на год вперед. Да не важно на сколько, лишь бы перенести.

Комментарий эксперта

Игорь Писаренко, отдел информационной безопасности ВТБ24 (ЗАО)

Закончилась пора летних отпусков, и вновь в преддверии вступления в силу требований ФЗ "О персональных данных" с 1 января 2010 г. набирает силу кампания по проведению мероприятий по защите персональных данных (ПДн). Времени осталось немного, поэтому производители и интеграторы в области информационной безопасности торопятся предложить свои услуги по построению системы защиты ПДн.

Операторы ПДн, в свою очередь, не спешат выполнить требования регуляторов, многие заняли выжидательную позицию: одни - в надежде на смягчение требований, другие - на перенос сроков окончательного внедрения закона, третьи - рассчитывают на русское "авось пронесет". Да и выполнить все требования просто невозможно - денег не хватит, даже у крупных банков.

Проведенное исследование показывает отношение операторов к защите ПДн, хотя делать конкретные выводы по приведенным данным затруднительно: много операторов, обрабатывающих ПДн различных категорий, и картина получается слишком усредненной.

Показательными являются оценки выполнения требований ФЗ "О персональных данных" - только 14% (по собственному мнению) им соответствуют. На самом же деле процент соответствия гораздо ниже - в опросе приняло участие менее 300 респондентов, в основном ИТ- и ИБ-специалисты, работающие, как правило, в крупных компаниях, в Москве или поблизости. Что можно говорить о сельских школах, больницах, библиотеках и т.п. по всей России, где также обрабатываются ПДн, в том числе специальных категорий?

Аналогичная ситуация и по внедрению систем защиты ПДн: часть операторов проводит мероприятия по внедрению систем защиты, а как это делается в поликлиниках, школах и т.п. - можно только догадываться.

Георгий Гарбузов, дирекция информационной безопасности службы внутреннего контроля СГ "УРАЛСИБ"

Законодательство в области защиты персональных данных (ПДн) становится все более обсуждаемой темой, что подтверждает рост числа разнообразных конференций и семинаров, а растущая активность Роскомнадзора и приближение 01.01.2010 г. (начиная с этого момента все ИСПДн должны быть приведены в соответствие закону) подхлестывают интерес к проблематике. Оно и не мудрено, ведь организаций, вовсе не обрабатывающих ПДн, в природе не существует, а значит, обеспечение соответствия законодательству стало головной болью для всех без исключения.

Приведенный обзор иллюстрирует несколько основных тенденций.

Недовольство операторов качеством законодательства. Претензии высказываются в отношении избыточности и неясности требований закона, неточности формулировок (сравните, например, "раскрытие в результате передачи" из Евродирективы 95/46/EC и "распространение, в том числе передача" из 152-ФЗ) и необоснованной жесткости норм, не имеющих в основе классический баланс "риск - защитная мера". Неясность в вопросе о том, что конкретно нужно делать, находится на третьем месте в рейтинге сложности реализации требований закона (первые два - нехватка кадров и недостаток средств).

Сегодня требования выполняются лишь частично - операторы не торопятся строить специальные системы для защиты ПДн. Меры, применяемые для защиты коммерческой тайны, сейчас используются и для защиты ПДн в большинстве организаций. Это понятно - законодательство о коммерческой тайне не формулирует конкретных требований по защите, и операторам экономически невыгодно строить отдельную систему для защиты ПДн, не говоря уже о том, что разделить информационные потоки по виду конфиденциальной информации практически невозможно.

Несмотря на критику закона, операторы признают пользу от него. Положительный тренд в этой области, несомненно, есть. Даже сама шумиха и бурные обсуждения позволили организациям, по крайней мере, узнать о существовании проблемы, а большинство участников опроса отметили, что за последний год в их организации стартовали проекты по защите ПДн.

Во что это выльется для нас, субъектов ПДн, - в погоню ли за формальным комплайенсом или в действительную защиту ПДн - покажет время.

---

¹ Сумма долей больше 100%, поскольку респонденты могли выбрать несколько вариантов ответа.