Обзор "Телеком в России 2007" подготовлен При поддержке
CNewsAnalytics Тарио

России нужен стандарт безопасности персональных данных

России нужен стандарт безопасности персональных данныхНеобходимость стандарта безопасности персональных данных подтверждает исследование InfoWatch, в рамках которого были опрошены профессионалы по ИТ-безопасности, ознакомившиеся с требованиями нового федерального закона «О персональных данных». 94% респондентов убеждены, что России  просто необходим такой нормативный акт. Это станет первым шагом на пути к цивилизованному обращению приватной информации в обществе.

Федеральный закон (ФЗ) «О персональных данных» был принят относительно недавно — в конце июля 2006 года. Однако шуму с тех пор он успел наделать немало. Основная причина — довольно жесткие требования к безопасности приватных сведений граждан, а также широкий спектр организаций, попадающих в область действия закона. Так, в рамки нормативного акта попадает любое физическое или юридическое лицо, которое имеет на своем попечении персональные данные других граждан. На практике это означает, что закону должны подчиняться все коммерческие и государственные структуры.

ФЗ вступил в силу лишь в начале февраля 2007 года, так что постоянные утечки приватных баз, зафиксированные до этого времени, не попадают в сферу действия нового нормативного акта. Кроме того, некоторые требования закона отложены до 1 января 2008 года и 1 января 2010 года. Тем не менее, соответствие ФЗ требует от организаций внедрения новых it-продуктов, принятия организационных мер и модернизации бизнес-процессов компании.

Чтобы пролить свет на практичность требований закона к ИТ-безопасности, компания InfoWatch опросила 300 профессионалов по защите информации на сайте SecurityLab.ru. Уникальность исследования состоит в том, что перед тем, как отвечать на вопросы анкеты, каждому респонденту были предоставлены справочные материалы о требованиях ФЗ в сфере защиты персональных данных. Таким образом, подавляющее большинство анкетированных специалистов действительно смогли выразить компетентное мнение относительно адекватности и сложности требований этого нормативного акта.

Насколько хорошо вы знаете требования ФЗ?

Источник: InfoWatch и SecurityLab, 2007

Мы не будем подробно останавливаться на методологии исследования. Заметим лишь, что респондентам было предложено оценить свои знания требований ФЗ «О персональных данных» в сфере ИТ-безопасности. Также аналитический центр InfoWatch предоставил анкетируемым специалистам справочные материалы, обобщающие положения закона в плане защиты приватных сведений. В результате подавляющее большинство (90%) респондентов могло чувствовать себя уверенно и делать компетентные суждения относительно требований ФЗ (см. рис. 1).

Подавляющее большинство специалистов (94%) восприняло новый закон с энтузиазмом. Другими словами, беззащитность приватной информации и постоянные утечки баз данных вызывают очень серьезную озабоченность респондентов. Во-вторых, в то же самое время 40% опрошенных профессионалов не верят, что закон будет работать на практике. Но в чем проблема? Оказывается, в недостаточной конкретности требований закона (49%) и нехватки денег на внедрение адекватных систем защиты (20%).В-третьих, России необходимо как можно быстрее выбрать уполномоченный орган, который будет следить за соблюдением требований закона «О персональных данных» и опубликует официальный стандарт по безопасности приватной информации. Это позволит снять основное противоречие — нечеткость требований закона. В-четвертых, текущие требования закона большинством голосом (79%) признаны вполне подъемными к реализации. Более того, 71% организаций уже запланировали внедрение новых ИT-продуктов, позволяющих достичь соответствия с положениями закона.

Новому закону все только рады

Респонденты выразили большой энтузиазм в связи с принятием ФЗ «О персональных данных». Практически все анкетированные специалисты (94%) убеждены, что России был просто необходим такой нормативный акт. Против этой точки зрения выступили лишь 6%, из которых ровно половина (3%) сомневается в выборе ответа.

Нужен ли России вообще закон «О персональных данных» сегодня?

Источник: InfoWatch и SecurityLab, 2007

По мнению аналитического центра InfoWatch, воодушевление респондентов вполне оправданно. Гражданам просто надоело находить свои персональные данные практически в каждой продаваемой сегодня базе данных. Теперь люди возлагают надежды на новый закон, так как это первый шаг на пути к цивилизованному обращению приватной информации в обществе.

Ложка дегтя

Хотя проблему утечек персональных данных можно считать наболевшим вопросом, 40% респондентов не верят в эффективность нового нормативного акта. Из них 7% считают, что закон вообще не будет работать. 6 респондентов из 10 в целом возлагают на закон положительные надежды. Структура этих 60% такова: 54% респондентов полагают, что норматив будет работать, но не на полную силу, а 6% абсолютно уверены, что закон окажется довольно эффективным (приведет к сокращению числа утечек, а за сами утечки начнут привлекать к суду).

Будут ли требования ФЗ работать на практике?

Источник: InfoWatch и SecurityLab, 2007

Как указывают эксперты InfoWatch, опасения 40% респондентов вполне обоснованны. Так, Согласно ст.19 ч.2 ФЗ «О персональных данных», Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Другими словами, принятие закона (даже с прописанными в нем требованиями к безопасности приватных сведений) является лишь первым шагом на долгом пути к цивилизованному обращению персональных данных. Следующей ступенью должно стать назначение или создание уполномоченного органа и четкая формализация требований к защите личной информации. Тем не менее, эксперты InfoWatch солидарны с теми 60% респондентов, которые возлагают положительные надежды на новый закон. Все-таки первый шаг — всегда самый трудный. Так что уже сегодня есть первые предпосылки к тому, что власть урегулирует оборот приватных сведений в России.

Основные препятствия и сложности

Каковы же тогда препятствия на пути эффективной реализации требований закона? Очевидно, что внедрению всех требований ФЗ в ИТ-инфраструктуру организации потребует определенных усилий от специалистов компании, а также бюджетных ассигнований на покупку новых средств защиты. Как оказалось, на этом пути главными трудностями являются неконкретность самих требований (49%), бюджетные ограничения (20%) и нехватка квалифицированного персонала (18%). Распределение ответов представлено на рис.4.

Препятствия на пути реализации требований ФЗ

Источник: InfoWatch и SecurityLab, 2007

Легко видеть, что наибольшие сложности у российских специалистов вызывают сами требования закона, а точнее — их неконкретность. Эта причина возглавила список наиболее сложных для преодоления препятствий и набрала 49% голосов. По мнению экспертов InfoWatch, респонденты прекрасно понимают, что конечные требования к защите персональных данных будут сформулированы позже отдельным уполномоченным органом. Другими словами, сейчас компании могут реализовать лишь самые общие положения закона — внедрить систему защиты от утечек и инсайдеров, криптографические средства и разделение доступа. Таким образом, можно сделать один из главных выводов - России необходимо как можно быстрее выбрать уполномоченный орган, который будет следить за соблюдением требований закона «О персональных данных» и опубликует официальный стандарт по безопасности приватной информации.

Конечно, основным препятствием является расплывчатость требований закона. Однако за этой трудностью хоть и с большим отрывом идут бюджетные ограничения. К сожалению, в нашей стране все еще слишком мало средств выделяется на автоматизацию, информационные технологии и безопасность. Что же касается нехватки квалифицированного персонала, то это вторая известная проблема — хороших кадров всегда не хватает. Особенно в тех случаях, когда от компаний требуют обеспечить безопасность персональных данных, но не объясняют конкретно, какие средства защиты или технологии должны быть внедрены обязательно.

Аналитический центр InfoWatch предложил респондентам определить, насколько сильно необходимо модернизировать ИТ-инфраструктуру организации, чтобы удовлетворить требованиям ФЗ «О персональных данных». Как оказалось, почти половина (47%) специалистов считает этот проект достаточно сложным, но выполнимым. В то же самое время почти треть (32%) опрошенных профессионалов заявила, что такой проект вряд ли можно считать сложным: сильно менять ИТ-инфраструктуру не надо, хотя чуточку повозиться все-таки придется. Усредняя ответы можно сделать вывод, что подавляющее большинство респондентов считает требования ФЗ к защите персональных данных вполне подъемными.

Насколько сильно придется изменять свою ИТ-систему в соответствии с ФЗ?

Источник: InfoWatch и SecurityLab, 2007

При должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с ФЗ не должна представлять для российских организаций больших трудностей. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако уже сейчас можно утверждать, что эти средства безопасности необходимо внедрить и без участия надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации в компании является залогом ее успешной деятельности.

Планы на будущее

Последним вопросом респондентам было предложено рассказать о своих планах по внедрению технологических решений для защиты персональных данных. Оказалось, что 71% организаций уже запланировал покупку и внедрение такого рода продуктов. Можно сделать вывод, что подавляющее большинство респондентов совершенно адекватно отреагировали на требования закона, которые фактически и ставили своей целью подвигнуть российские организации к устранению постоянных утечек.

Планы по внедрению новых ИТ-продуктов для соответствия ФЗ

Источник: InfoWatch и SecurityLab, 2007

Подводя итоги, можно заметить, что закон «О персональных данных» воспринят профессиональным сообществом в целом очень положительно. Однако только 6 человек из 10 полагают, что требования нового норматива в сфере ИТ-безопасности будут работать на практике. Между тем, ровно 40% респондентов не верят в закон. Появляется вполне резонный вопрос — каковы препятствия на пути реализации требований ФЗ. Ведь что-то заставляет сомневаться чуть меньше половины (40%) респондентов. Оказывается, что наибольшие сложности у российских специалистов вызывают сами требования закона, а точнее — их неконкретность. Эта причина возглавила список наиболее сложных для преодоления препятствий и набрала 49% голосов. Таким образом, России необходимо как можно скорее определиться с надзорным органом, который возьмет на себя функции применения нового ФЗ на практике и опубликует стандарт безопасности приватных данных.

Алексей Доля

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS