Пресса о страховании, страховых компаниях и страховом рынке

Бизнес-журнал, 12 августа 2009 г.

Ничего личного

1201 просмотр

Большинство фирм, которые любовно ведут для своих нужд базу данных клиентов-«физиков», похоже, до сих пор не подозревают, что с точки зрения закона они классифицируются не иначе как «операторы персональных данных» — со всеми вытекающими последствиями. Между тем время поблажек истекает, скоро начнутся проверки.

Бюджет защитника
На сегодняшний день Федеральная служба по техническому и экспортному контролю сертифицировала около трех тысяч различных систем, которые обеспечивают защиту персональных данных. Среди них продукты большинства известных ИТ-компаний, а также разработки небольших российских фирм.
В зависимости от объема персональных данных, степени защиты и производителя системы цена может колебаться от двух до двухсот тысяч рублей. Сертификация собственного продукта, по оценкам экспертов, обойдется компании в 500–600 тысяч рублей.

Упомянутый закон «О персональных данных»(№152-ФЗ) вступил в силу в январе 2007-го, а установленный им переходный период заканчивается 1 января 2010 года. Самое время напомнить логику закона. Юрлица обязаны обеспечить защиту сведений о гражданах, которые собирают и используют в своей работе. Степень защищенности должна соответствовать категории данных. В категорию наименее защищаемых попадают, например, сведения о телефоне и адресе гражданина, а наивысшую степень сохранности операторы обязаны обеспечить для информации о доходах, паспортных данных или здоровье гражданина. Организации должны привести свои информационные системы в соответствие с новыми требованиями, ввести ограничения доступа и защитить от несанкционированного копирования. Не вдаваясь в технические детали, достаточно сказать, что компаниям — операторам персональных данных придется обзавестись новым, сертифицированным программным обеспечением или усовершенствовать и сертифицировать старое, а также пройти аттестацию и направить соответствующее уведомление в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), после чего их включат в реестр операторов. И тогда, по мысли законодателей, должна прекратиться вакханалия с массовым «сливом» на сторону клиентских баз данных коммерческих фирм и государственных структур.

Переходный период, который заканчивается через полгода, был установлен, чтобы организации привели в соответствие с требованиями закона свои информационные системы, созданные до вступления 152-ФЗ в силу.

С соблюдением закона, мягко говоря, возникают проблемы. На начало года, по данным Роскомнадзора, в реестре успело зарегистрироваться лишь 33,7 тысячи операторов персональных данных. Причем эта цифра включает государственные и муниципальные органы (42%). А по оценкам специалистов, в общей сложности операторов в реестре должно быть что-то около семи миллионов (!), ведь свои клиентские базы ведут многие — от турагентства до химчистки.

Шансов, что к началу 2010 года ситуация сильно изменится, не много. Сертификационных центров в России не более сотни, и их пропускная способность невелика. Как подсчитал Алексей Лукацкий, автор книги «Мифы и заблуждения информационной безопасности», на то, чтобы сертифицировать всех существующих в России операторов персональных данных, уйдет не менее тысячи лет. По большому счету, операторам, которые обязаны обеспечить максимальную степень защиты сведений (например, банкам и страховым компаниям), следовало начинать переходить на новые стандарты еще в 2007-м.

Между тем правовые последствия могут оказаться для компаний весьма болезненными. «За несоблюдение требований защиты персональных данных установлена и административная, и уголовная ответственность», — объясняет Михаил Емельянников, директор по развитию бизнеса компании «Информ-Защита». Наиболее вероятной является административная ответственность (статьи 13.11-13.14 КоАП). Максимальные штрафы по этим нормам не превышают нескольких десятков тысяч рублей. Но предусмотрена также и уголовная ответственность. По статье 137 УК РФ за незаконный сбор или распространение с использованием служебного положения личных сведений грозит штраф от 100 до 300 тысяч рублей или в размере заработной платы за срок до двух лет, либо лишение свободы на срок до трех лет, либо арест на срок от четырех до шести месяцев. Причем с 1 января 2010 года наказание ужесточается: нарушителям будет грозить до четырех лет лишения свободы.

Несмотря на то что закон действует уже два с половиной года, ожидается, что проверки начнутся именно после наступления «крайнего срока» — завершения переходного периода. Никто из специалистов, впрочем, пока не смог припомнить ни одного случая, когда за время действия закона кто-то был привлечен к уголовной ответственности. Поэтому, скорее всего, речь будет идти о штрафе. Он, в принципе, равен стоимости программных продуктов на рынке. Но штрафовать будут до тех пор, пока компания не устранит нарушения.

Первыми всполошились банки. Они обратились в Роскомнадзор с письмом, в котором попросили продлить переходный период еще на два года. Одним из инициаторов письма стал депутат Госдумы Анатолий Аксаков. «В условиях кризиса банкам не хватит ресурсов, чтобы перестроить свои системы», — уверен депутат. Инициативу поддержали и другие операторы персональных данных. Крупным компаниям переход на новые стандарты обойдется в миллионы рублей. Мелким и средним — в десятки тысяч.

Чиновники идею отодвинуть сроки не одобряют. «Это отрицательно повлияет на защиту прав субъектов персональных данных (то есть граждан. — Прим. ред.)», — заявил замглавы Роскомнадзора Роман Шередин. Впрочем, и он признает, что предусмотренные законом правила нужно упрощать. Процедура защиты данных действительно запутанна. Помимо закона «О персональных данных», существует множество документов (например, за авторством Федеральной службы по техническому и экспортному контролю и ФСБ), которые регулируют различные методологические аспекты. «Существующая методология является сложной — организационно и финансово — для большинства операторов, обрабатывающих персональные данные», — сказал Роман Щередин. Поэтому не исключено, что до конца года некоторые изменения все же появятся.

Пока от принятия закона выиграли отнюдь не граждане, персональные данные которых продолжают практически невозбранно покупаться и продаваться на черном рынке. До сей поры главные бенефициары — ИТ-компании, работающие на рынке защиты информации. «Мы ожидаем роста этого сегмента в районе 20%, несмотря на кризис», — говорит ведущий аналитик по исследованиям компании Gartner Руггеро Конту. Статистика и прогнозы экспертов это подтверждают. Как говорится в отчете IDC Russia Security Software, в 2008 году объем продаж в сегменте систем ИТ-безопасности составил 211 млн долларов, что на 46,7% больше, чем годом ранее, а темпы роста сегмента на 20% выше, чем в целом по ИТ-рынку.

Как дела? Воруют!
По данным исследовательской компании Perimetrix, в России персональные данные крадут у 57% компаний. Наиболее «резонансные» похищения происходили у сотовых операторов и страховых компаний. В первом случае общедоступными становились сведения об абонентах, во втором — информация о застрахованном имуществе.

Как уверяют исследователи, никто из виновных в утечке не был привлечен к ответственности. Причина кроется в несовершенстве нового российского законодательства о защите персональных данных. В частности, закон предусматривает ответственность не за факт распространения сведений, а за нарушения в порядке их обработки и защиты. То есть речь идет о формальных требованиях: наличие соответствующих разрешений, договоров и сертификатов.

Впрочем, даже в Европе, где правила защиты личной информации действуют давно, не гарантируется полная конфиденциальность. За последние несколько лет, по данным официальной статистики, около 300 млн человек пострадали от утечки персональных сведений из компаний и госорганов. Из них три четверти стали жертвами халатности держателей базы данных и лишь четверть пострадала от хакеров и других злоумышленников. Например, осенью прошлого года министр обороны Великобритании Джеймс Пернелл забыл в поезде диск с персональными сведениями сотни тысяч военнослужащих.

Лидируют по количеству утечек конфиденциальных сведений США. Слишком большие объемы утечек заставили американских законодателей обязать операторов уведомлять обо всех зафиксированных фактах потери или кражи данных. В противном случае оператора ждут многомиллионные штрафы.

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »