Дмитрий Медведев утвердил внесенные в Федеральный закон “О персональных данных” изменения. Помимо разъяснения определений таких базовых понятий как “персональные данные”, “оператор”, “обработка персональных данных”, поправки устанавливают случаи обработки персональных данных и сроки предоставления оператором информации по запросу гражданина. Организации, оперирующие персональными данными, теперь обязаны будут принять дополнительные меры защиты информации. Компаниям придется обновить программные продукты и привести информационные системы в соответствие с требованиями закона. Организации впредь должны будут регистрировать все совершаемые в них действия и установить правила доступа к персональным данным. Кроме того, средства защиты информации, используемые операторами, должны пройти процедуру оценки соответствия уполномоченными структурами – ФСБ и ФСТЭК, контролирующих выполнение новых требований. Отныне компании должны будут обнаруживать факты несанкционированного доступа к данным и принимать соответствующие меры, а граждане могут требовать возмещения морального вреда и убытков в случае их утечки.
Президент поручил правительству издать подзаконных акты, определяющие уровни защищенности данных в зависимости от угроз безопасности и требования к материальным носителям биометрических данных и технологиям их хранения вне систем.
Ранее о нежелательности принятия поправок в нынешнем виде в закон “О персональных данных” Президенту РФ к в открытом письме заявляли эксперты российской отрасли информационных технологий. ИТ-общественность высказалась против последних поправок, рассказывает генеральный директор компании InfoWatch Наталья Касперская, поддержавшая инициативу экспертов. “Открытое письмо президенту с просьбой не подписывать закон собрало много подписей. Такая петиция, надо сказать, шаг неординарный. Недовольство среди специалистов по информационной безопасности и раньше раздавалось в ответ на законопроекты, но такую реакцию мы видим впервые”, – продолжает она.
В результате внесённых поправок этот ФЗ сила и значимость его подзаконных актов повысились, считает Наталья Касперская. “Контролирующие инстанции” теперь в гораздо б?льшей степени стали “контролирующими”. Проверяющие соблюдение правил – устанавливающими эти правила. Ещё больше сблизились функции нормотворчества и контроля соблюдения – в лице одних и тех же чиновников”, – объясняет она.
В профессиональной среде защитников информации откровенно говорят о том, что обсуждаемые поправки были пролоббированы ведомствами, влияние которых усиливается в результате обновления закона, при этом никакого усиления защищённости персональных данных не ожидается, утверждает Наталья Касперская. “Некоторые говорят, что закон “О персональных данных” был морально устаревшим уже на момент его принятия в 2006 году. О моральном устаревании можно говорить, если бы предписанные меры защиты когда-то были эффективны, а ныне уже не дают эффекта. Но они не были эффективны и тогда. Проведение сертификаций и аттестаций технических средств защиты, получение лицензий, написание вороха бумаг – всё это никогда особенно не коррелировало с защищённостью, с вероятностью утечек информации”, – считает она. Однако ответственность же операторов данных за произошедшие утечки как отсутствовала, так и отсутствует, подчеркивает Наталья Касперская.
Насколько именно возрастут расходы операторов персональных данных, можно будет сказать, когда выйдут (или будут пересмотрены) подзаконные акты, предусмотренные новой версией закона, предполагает глава InfoWatch. “В том-то и особенность, что ФЗ-152 отдаёт слишком много возможностей на усмотрение органов исполнительной власти. Не закон, а издаваемые ведомствами приказы определяют, насколько затратными будут меры “защиты”, которую вынужден оплачивать каждый оператор. Как показывает опыт, ведомства не скупятся на чужие траты. И на количество необходимых бумаг с печатями, которые эти же ведомства и выдают”, – подчеркивает она.
Новые регулирующие требования могут вообще не сказаться на деятельности компаний. Как показал предыдущий опыт исполнения обсуждаемого закона, совместить с ними существующие у операторов системы информационной безопасности не сложно, убеждена Наталья Касперская. “Все требования – бумажные. Работы по “приведению в соответствие” информационных систем не затрагивали самих этих систем, но ограничивались приведением в соответствие документации”, – констатирует она.
По словам начальник отдела консалтинга компании “Информзащита” Ивана Мелехина, ситуация с принятием закона в текущем виде полностью характеризуется известной цитатой “хотели как лучше, а получилось как всегда”. “Такое ощущение, что параллельно готовились две редакции закона, двумя разными группами, преследующими свои, диаметрально противоположные, интересы, а победила дружба – в закон включили всё. Причем как всегда, от такой победы страдают и граждане и операторы. Поскольку данные первых как утекали, так и утекают, а вторым придется строить потемкинские деревни из сертифицированных средств защиты”, считает Иван Мелехин. В его понимании, положение усугубляется тем, что закон предполагает принятие большого количества подзаконных актов, которые как обычно будут приниматься годами, а в ситуации нормативной неопределенности регуляторы будут трактовать положения закона как им удобно.