Депутаты Госдумы приняли окончательные поправки в закон «О персональных данных»
Депутаты Государственной Думы отказали коммерческим организациям в возможности самим выбирать себе меры по защите информационных систем. В третьем чтении были приняты поправки к закону «О персональных данных», в 19 статье которого прописаны «Меры по обеспечению безопасности персональных данных при их обработке». Данная статья является критически важной для большого количества российских компаний, осуществляющих автоматическую обработку данных о физлицах.
Правительством было издано классификатор типов персональных данных в зависимости от количества субъектов данных и полноты информации о них. Федеральная служба безопасности (ФСБ) и Федеральная служба по техническому и экспортному контролю (ФСТЭК), непосредственно разрабатывают требования к защите информации и имеют право осуществлять контроль над выполнением этих требований.
Данный закон был принят еще в 2006 году, но в нем была введена отсрочка нормы о защите информации до 1 января 2010 года. Впоследствии Госдума продлевала этот срок дважды, в последний раз до июля 2011 года.
В мае этого года депутатами было принято решение не откладывать срок очередной раз, но облегчить требования закона. Законопроект с поправками, внесенный председателем комитета Госдумы по финансовым рынкам Владиславом Резником и принятый в первом чтении, предполагал следующую редакцию статьи 19: «Правительство устанавливает требования к защите персональных данных только в государственных и муниципальных информационных системах в случаях, когда такая обработка данных предусмотрена законами».
Соответственно, ФСБ и ФСТЭК могли бы контролировать меры по защите информации только в этих системах. Кроме того, отдельный пункт статьи гласил, что оператор персональных данных и субъект этих данных (физическое лицо) могут сами договориться о принимаемых мерах защиты. Однако во втором чтении депутаты одобрили поправку главы комитета по конституционному законодательству и государственному строительству Владимира Плигина, предложившего совсем иную редакцию статьи 19. Согласно принятому документу, правительство классифицирует уровни защиты информации, а требования к защите устанавливают ФСБ и ФСТЭК. Центробанк и отраслевые министерства могут принять нормативные акты, описывающие угрозы при обработке данных в соответствующих сферах, а отраслевые ассоциации и саморегулируемые организации могут дополнить перечь угроз. Все эти документы также подлежат согласованию с ФСБ и ФСТЭК.
Правительство также может определить перечь информационных систем, не относящихся к государственным и муниципальным, контроль за защитой информации в которых будут осуществлять ФСБ и ФСТЭК. Принятая редакция статьи 19 также налагает на операторов персональных данных ряд дополнительных требований: использовать сертифицированные средства защиты, оценивать эффективность используемых мер защиты до ввода информационной системы в эксплуатацию, устанавливать правила доступа к персональным данным и производить регистрацию всех действий с ними, обеспечивать восстановление информация в случае ее несанкционированного удаления.
Таким образом, законодатели не только передумали упрощать требования 152-ФЗ, но и ввели новые требования. Источник в крупной телекоммуникационной компании объясняет произошедшее лоббистскими усилиями ФСБ и ФСТЭК, поскольку аккредитованные при них структуры будут получать доход от сертификации систем обработки персональных данных. Если закон в таком виде вступит в силу, всем компаниям, обрабатывающим данные о физических лицах, придется смоделировать угрозы для соответствующих систем и внедрить комплекс технических мер защиты.
Речь идет об установке следующих подсистем: разграничения доступа, криптографической защиты информации, антивирусной защиты, обнаружения вторжений, анализа защищенности, аудита событий безопасности и межсетевого экранирования. Кроме того всем операторам необходимо пройти сертификацию уже имеющихся средств защиты информации и изменить архитектуру корпоративной информационной системы для реализации функций защиты. В результате, расходы на установку системы обработки персональных данных для разных компаний могут составлять от 10 до 200% годового оборота плюс операционные затраты на техническую поддержку системы защиты составят 10-15% от стоимости самих систем.
Экспертное сообщество ИБ-специалистов выразило свое недовольство принятым вариантом поправок в открытом письме президенту Дмитрию Медведеву, которое подписали Александр Бондаренко, Алексей Волков, Алексей Лукацкий, Александр Токаренко и Евгений Царев. “Российским операторам персональных данных законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества, - говорится в письме. - Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных”.
Далее эксперты отмечают, что операторы с большой вероятностью переложат расходы на субъектов персональных данных. В письме также отмечается, что законопроект не проходил антикоррупционную экспертизу. По мнению его авторов, создаются предпосылки для вывода информационных систем за пределы России в страны Евросоюза, “где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта”. Авторы обращения просят президента отклонить законопроект, направить его на общественные слушания и доработку.
www.securitylab.ru
публикации сходной тематики
- Google раскрыл документы “для служебного пользования” органов власти РФ
- Корпус Стражей Ирана официально пригласил на работу хакеров
- Спамеры взяли на вооружение новую технику
- В Китае запущена система цензуры мобильного голосового трафика
- Данные о местонахождении автомобилей оказались в открытом доступе