Сегодня найти данные на любого человека не представляет особого труда — были бы деньги и время. В Интернете легко покупаются и продаются клиентские базы магазинов, банков и прочих учреждений. Достать диски с адресами, телефонами депутатов различных уровней — тоже не проблема. Ситуация не могла сохраняться в таком виде бесконечно, и на государственном уровне занялись, наконец, вопросом охраны персональных данных граждан. О том, что собой представляет новая информационная политика в этой сфере, нам рассказал начальник подразделения, одним из направлений деятельности которого является обеспечение безопасности персональных данных при их обработке в информационных системах, УФСБ России по Краснодарскому краю Игорь БАТУРА.
— Игорь Владимирович, как известно, при формировании законодательной базы мы зачастую опираемся на опыт развитых стран. Защита персональных данных из этого же разряда? Это — новация или…
— Что касается разработки, то вопросом защиты персональных данных озаботились более тридцати лет назад. Вопрос уже тогда встал настолько остро, что 28 января 1981 года в Страсбурге была ратифицирована Европейская конвенция о защите физических лиц при автоматизированной обработке персональных данных. Этот документ открыл новый этап в развитии информационной безопасности в России: в начале 2007 года вступил в силу Федеральный закон № 152-ФЗ «О персональных данных». Закон затрагивает все юридические и физические лица, в чьем распоряжении находятся конфиденциальные сведения о других гражданах. Как видите, говорить об этом законе как о новации не совсем верно, ведь он вступил в силу более трех лет назад. Однако, по сути, работать в полном объеме по нему мы действительно начали не так давно.
Кроме стремления соответствовать стандарту защиты интересов личности, характерному для западных стран, при принятии закона были учтены и внутренние, российские, предпосылки. В частности, широкое распространение всевозможных контрафактных баз данных, содержащих персональные сведения граждан, свободная торговля персональными данными с целью предоставления рекламных услуг, низкий уровень правовой грамотности государственных чиновников и коммерсантов, зачастую слабо представляющих себе понятие «неприкосновенность частной жизни».
— Что теперь изменится? Станет меньше бесплатной рекламы, приходящей к нам в дом? Мошенники перестанут оформлять на нас кредиты?
— В основу закона, а значит, и в основу работы всех государственных и частных учреждений отныне положен приоритет интересов субъекта персональных данных, то есть нас с вами. Теперь ни одно действие с нашими персональными данными, такими как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и многое другое, не может быть совершено без нашего ведома, а часто и письменного согласия. Большое внимание уделено вопросам защиты сведений о здоровье граждан. Им присвоена высшая — первая — категория персональных данных. Всем информационным системам, обрабатывающим сведения о здоровье граждан, присвоен специальный статус. Защищать их теперь придется не хуже, чем государственные секреты.
— А чем объясняется задержка с практической реализацией этого закона?
— Долгое время реализация требований 152-ФЗ была осложнена рядом обстоятельств. Не было необходимой базы подзаконных нормативных актов, а ряд требований по технической защите персональных данных был неоправданно высок, что значительно увеличивало расходы на их защиту для предприятий малого и среднего бизнеса. Отсутствовала необходимая база квалифицированных специалистов по защите информации. Сейчас все спорные вопросы урегулированы. Регламенты для организаций, оперирующих персональными данными, находятся в широком доступе. Есть курсы по обучению сотрудников организаций работе с персональными данными.
— Однако, несмотря на это, процесс организации достаточно дорог и длителен…
— Все структуры, обрабатывающие персональные данные граждан, были предупреждены еще в начале этого года о необходимости выполнения всех нормативов. То есть у них был целый год на приведение систем в соответствие с требованиями закона. Наши проверки, которые проводились в последнее время, выявили ряд недостатков у некоторых операторов. Руководителям таких организаций мы предоставили рекомендации по устранению нарушений. Фактически на протяжении прошедшего года мы проводили консультационную работу. С января 2011 года мы начали плановые проверки предприятий, работающих с персональными данными граждан. Работа с ПД без лицензии ФСТЭК (Федеральная служба по техническому и экспортному контролю) и ФСБ являются административным правонарушением и влечет за собой наказание. Мы будем применять все законные рычаги, для того чтобы навести порядок в сфере персональных данных.
— И куда нужно обращаться за получением лицензии по технической защите персональных данных?
— Лицензии по технической защите конфиденциальной информации, к которой непосредственно относятся персональные данные, выдаются ФСТЭК России. Лицензии по защите персональных данных с использованием криптографических средств выдаются территориальным органом ФСБ России.
Главное, что мы хотим донести до всех: создание надежной системы защиты выгодно и самим операторам. Отсутствие системы защиты информации в организации провоцирует потенциальных нарушителей на хищение конфиденциальных сведений, их уничтожение, подмену и т.д. По мере расширения степени использования информационных технологий в деятельности организаций растет также и величина ущерба, который может понести предприятие в случае «атаки» злоумышленников на ее информационные ресурсы.
Мнение о том, что злоумышленник — это лицо абстрактное и вряд ли его заинтересует информация, обрабатываемая в наших информационных системах, ошибочно. Как показывает мировой опыт, более половины правонарушителей, так или иначе «атакующих» информационные ресурсы организаций, это собственные сотрудники, так называемые внутренние нарушители — инсайдеры.
— А какие новые права появились у рядовых граждан?
— Каждый человек в любой ситуации теперь имеет право на ознакомление со своими персональными данными, а также имеет право знать, каким образом и в каких целях ведется их обработка, кто имеет к ним доступ, кому и для чего они передаются. Чтобы получить эти сведения, теперь достаточно направить запрос и в течение десяти рабочих дней бесплатно получить всю необходимую информацию.
— Кто контролирует реализацию этого закона?
— Государственным органом, в чью компетенцию входят задачи по контролю за выполнением требований ФЗ «О персональных данных», является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), которая регулирует правовые отношения между операторами и субъектами персональных данных ФСТЭК России — она контролирует правомерность технического обеспечения защищенной обработки персональных данных. ФСБ России в соответствии со ст. 19 Федерального закона «О персональных данных» осуществляет контроль и надзор за требованием к обеспечению безопасности персональных данных при их обработке в информационных системах, а также требования к носителям биометрических данных граждан и технологиям их хранения вне информационных систем.