Сегодня найти данные на любого человека не представляет особого труда – были бы деньги и время. В Интернете легко покупаются и продаются клиентские базы магазинов, банков и прочих учреждений. Достать диски с адресами, телефонами депутатов различных уровней – тоже не проблема.
Ситуация не могла сохраняться в таком виде бесконечно, и на государственном уровне занялись, наконец, вопросом охраны персональных данных граждан. О том, что собой представляет новая информационная политика в этой сфере, нам рассказал начальник подразделения УФСБ России по Краснодарскому краю Игорь Батура, одним из направлений деятельности которого является обеспечение безопасности персональных данных при их обработке в информационных системах.
- Игорь Владимирович, не секрет, что многие законы у нас пишутся по аналогии с уже действующими в развитых странах. Новация о защите персональных данных из этого же разряда?
- Что касается разработки, то защитой персональных данных озаботились более тридцати лет назад. Вопрос уже тогда встал настолько остро, что 28 января 1981 года в Страсбурге была ратифицирована Европейская конвенция о защите физических лиц при автоматизированной обработке персональных данных. Этот документ открыл новый этап в развитии информационной безопасности в России: в начале 2007 года вступил в силу Федеральный закон № 152-ФЗ «О персональных данных». Закон затрагивает все юридические и физические лица, в чьем распоряжении находятся конфиденциальные сведения о других гражданах. Как видите, говорить об этом законе как о новации не совсем верно, ведь он вступил в силу более трех лет назад. По сути работать в полном объеме по нему мы действительно начали не так давно.
Кроме стремления соответствовать стандарту защиты интересов личности, характерному для западных стран, в принятии закона были заложены и внутренние, российские, предпосылки. В частности, широкое распространение всевозможных контрафактных баз данных, содержащих персональные сведения граждан, свободная торговля персональными данными с целью предоставления рекламных услуг, низкий уровень правовой грамотности государственных чиновников и коммерсантов, зачастую слабо представляющих себе понятие «неприкосновенность частной жизни».
- Нам перестанут забивать почтовые ящики рекламной макулатурой? Мы будем защищены от нежданных кредитов, оформленных на нас мошенниками? Что изменится?
- В основу закона, а значит, и в основу работы всех государственных и частных учреждений отныне положен приоритет интересов субъекта персональных данных, то есть нас с вами. Теперь ни одно действие с нашими персональными данными, такими как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и многое другое не может быть совершено без нашего ведома, а часто и письменного согласия. Большое внимание уделено вопросам защиты сведений о здоровье граждан. Им присвоена высшая – первая – категория персональных данных. Всем информационным системам, обрабатывающим сведения о здоровье граждан, присвоен специальный статус. Защищать их теперь придется не хуже, чем государственные секреты.
- Почему реализовывать закон начали только сейчас?
- Долгое время реализация требований 152-ФЗ была осложнена рядом обстоятельств. Не было необходимой базы подзаконных нормативных актов, а ряд требований по технической защите персональных данных был неоправданно высок, что значительно увеличивало расходы на их защиту для предприятий малого и среднего бизнеса. Отсутствовала необходимая база квалифицированных специалистов по защите информации. Сейчас все спорные вопросы урегулированы. Регламенты для организаций, оперирующих персональными данными, находятся в широком доступе. Есть курсы по обучению сотрудников организаций работе с персональными данными.
- Но согласитесь, что организация всех мероприятий, даже после удешевления, требует значительного времени и затрат.- Все структуры, обрабатывающие персональные данные граждан, были предупреждены еще в начале года о необходимости выполнения всех нормативов. То есть у них был целый год на приведение систем в соответствие с требованиями закона. Наши проверки, которые проводились в последнее время, выявили ряд недостатков у некоторых операторов. Руководителям таких организаций мы предоставили рекомендации по устранению нарушений. Фактически на протяжении 2010 года мы проводили консультационную работу. С января 2011-го начали плановые проверки предприятий, работающих с персональными данными граждан. Работа с ПД без лицензии ФСТЭК (Федеральная служба по техническому и экспортному контролю) и ФСБ является административным правонарушением и влечет за собой наказание. Мы будем применять все законные рычаги для того, чтобы навести порядок в сфере персональных данных.
- Понятно, и все же: для тех, кто как раз сейчас занимается приведением в порядок своих дел в плане персональных данных, – куда им нужно обращаться за получением лицензии?
- Лицензии по технической защите конфиденциальной информации, к которой непосредственно относятся персональные данные, выдается ФСТЭК России. Лицензии по защите персональных данных с использованием криптографических средств выдаются территориальным органом ФСБ России.
Главное, что мы хотим донести до всех: создание надежной системы защиты выгодно и самим операторам. Отсутствие системы защиты информации в организации провоцирует потенциальных нарушителей на хищение конфиденциальных сведений, их уничтожение, подмену и т. д. По мере расширения степени использования информационных технологий в деятельности организаций растет также и величина ущерба, который может понести предприятие в случае «атаки» злоумышленников на ее информационные ресурсы.
Мнение о том, что злоумышленник – это лицо абстрактное и вряд ли его заинтересует информация, обрабатываемая в наших информационных системах, ошибочно. Как показывает мировой опыт, более половины правонарушителей, так или иначе «атакующих» информационные ресурсы организаций, это собственные сотрудники, так называемые внутренние нарушители – инсайдеры.
- А для обычных граждан еще есть новшества?
- Каждый человек в любой ситуации теперь имеет право на ознакомление со своими персональными данными, а также имеет право знать, каким образом и в каких целях ведется их обработка, кто имеет к ним доступ, кому и для чего они передаются. Чтобы получить эти сведения, теперь достаточно направить запрос и в течение десяти рабочих дней совершенно бесплатно получить всю необходимую информацию.
- Кто будет следить за исполнением этого закона?
- Государственным органом, в чью компетенцию входят задачи по контролю за выполнением требований ФЗ «О персональных данных», является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), которая регулирует правовые отношения между операторами и субъектами персональных данных ФСТЭК России – она контролирует правомерность технического обеспечения защищенной обработки персональных данных. ФСБ России в соответствии со ст. 19 Федерального закона «О персональных данных» осуществляет контроль и надзор за требованием к обеспечению безопасности персональных данных при их обработке в информационных системах, а также требования к носителям биометрических данных граждан и технологиям их хранения вне информационных систем.
