Настоящее исследование является первым российским проектом, призванным выявить отношение отечественных организаций к самому закону и его требованиям в сфере ИТ-безопасности, а также планы компаний по внедрению положений ФЗ на практике.
Федеральный закон (ФЗ) «О персональных данных» вступает в силу с 30 января 2007 года. Хотя в отдельных случаях для организаций, обрабатывающих приватные сведения граждан, предусмотрена отсрочка в выполнении требований ФЗ до 1 января 2008 года и 1 января 2010 года, бизнесу и госструктурам необходимо заранее начать готовиться к реализации положений закона. Дело в том, что достижение соответствия ФЗ требует внедрения новых ИТ-продуктов, принятия организационных мер и модернизации бизнес-процессов компании.
Настоящее исследование является первым российским проектом, призванным выявить отношение отечественных организаций к самому закону и его требованиям в сфере ИТ-безопасности, а также планы компаний по внедрению положений ФЗ на практике. Исследование ставит своей целью выявить степень осведомленности респондентов о требованиях закона, оценить сложность этих требований и выявить препятствия на пути их реализации.
Уникальность исследования обусловлена не только поднятой проблематикой, но и целевой аудиторией. База респондентов состоит из 300 профессионалов по ИТ-безопасности, которым перед тем, как отвечать на вопросы анкеты, были предоставлены справочные материалы о требованиях ФЗ в сфере защиты персональных данных. Таким образом, подавляющее большинство анкетированных специалистов действительно смогли выразить компетентное мнение относительно адекватности и сложности требований этого нормативного акта.
Исследование проводилось в период 25.10.-25.11.2006. В процессе сбора первичных статистических данных приняли участие 300 респондентов, заполнивших online-анкеты на сайте SecurityLab.ru. Вопросы для анкетирования и результаты исследования были подготовлены аналитическим центром компании InfoWatch. Приведенные ниже данные являются округленными до целых процентов.
На рис. 1 представлен портрет респондентов по количеству компьютеризированных рабочих мест в организации. Наибольшая часть опрошенных сотрудников работают преимущественно в малых компаниях (62%). На долю среднего бизнеса (251-1000 компьютеризированных мест) пришлось 20%. Наконец, самая малочисленная группа респондентов представляет крупный бизнес. На этот сегмент пришлось в общей сложности 18%.
На следующем этапе респондентам было предложено оценить свои знания требований ФЗ «О персональных данных» в сфере ИТ-безопасности. Также аналитический центр InfoWatch предоставил анкетируемым специалистам справочные материалы, обобщающие положения закона в плане защиты приватных сведений. В результате подавляющее большинство (90%) респондентов могло чувствовать себя уверенно и делать компетентные суждения относительно требований ФЗ (см. рис. 2).
Таким образом, исследование было проведено на подготовленной целевой аудитории, которая имела базовые знания о требованиях закона «О персональных данных» и могло объективно оценить эффективность, сложность и практичность этих требований.
Распределение ответов на следующий вопрос однозначно свидетельствует о том, что безопасность персональных данных – эта та больная мозоль, которую уже давно пора было вылечить. Так, практически все респонденты (94%) убеждены, что России был просто необходим закона «О персональных данных» (см. рис. 3). Против этой точки зрения выступили лишь 6%, из которых ровно половина (3%) сомневается в выборе ответа.
По мнению аналитического центра InfoWatch, гражданам просто надоело находить свои персональные и особо чувствительные, например, финансовые сведения в общедоступных базах данных. Между тем, такие базы свободно продаются на местных рынках, в Интернете и постоянно рекламируются в спаме. В базе инсайдерских инцидентов InfoWatch уже сегодня содержится более 500 утечек, случаев саботажа, промышленного шпионажа и т.д. Среди них целый ряд широкомасштабных утечек из российских коммерческих и государственных организаций. Причем каждый из этих инцидентов привел к разглашению персональных сведений нескольких миллионов россиян.
Несмотря на то, что проблема защиты персональных данных наболела уже давно, принятие нового закона само по себе эту задачу не решает. Федеральный нормативный акт предъявляет лишь формальные требования к безопасности приватной информации, а за соблюдением этих положений должны следить специальные уполномоченные органы. Однако разрыв между тем, что написано в законе, и тем, что реально выполняется на практике, в России уже давно стал притчей во языцех. В связи с этим аналитический центр InfoWatch предложил респондентам указать, насколько они верят в реальную эффективность ФЗ «О персональных данных» (см. рис. 4). Как оказалось, 6 респондентов из 10 в целом возлагают на закон положительные надежды. Структура этих 60% такова: 54% респондентов полагают, что норматив будет работать, но не на полную силу, а 6% абсолютно уверены, что закон окажется довольно эффективным (приведет к сокращению числа утечек, а за сами утечки начнут привлекать к суду).
Между тем, нельзя сбрасывать со счетов 40% специалистов, которые не верят в новый закон «О персональных данных». Из них 7% полностью убеждено, что ситуация вообще не изменится. Т.е. утечки продолжатся, как и раньше. А 33% выразили сомнения в том, что норматив будет работать на практике.
По мнению аналитического центра InfoWatch, опасения 40% респондентов вполне обоснованны. Так, Согласно ст.19 ч.2 ФЗ «О персональных данных», Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно ст.19 ч.3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Другими словами, принятие закона (даже с прописанными в нем требованиями к безопасности приватных сведений) является лишь первым шагом на долгом пути к цивилизованному обращению персональных данных. Следующей ступенью должно стать назначение или создание уполномоченного органа и четкая формализация требований к защите личной информации. Тем не менее, эксперты InfoWatch солидарны с теми 60% респондентов, которые возлагают положительные надежды на новый закон. Все-таки первый шаг – всегда самый трудный. Так что уже сегодня есть первые предпосылки к тому, что власть урегулирует оборот приватных сведений в России.
Такого же мнения придерживаются и эксперты SecurityLab.ru, которые обращают внимание на ответственность физических и юридических лиц, предусмотренную ФЗ «О персональных данных». Согласно ст.24, виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Более того, ст.17 разрешает гражданам подавать в суд на операторов персональных данных и требовать возмещение убытков и/или компенсацию морального вреда в случаях, когда оператор нарушает требования ФЗ. Т.е. утечка приватных сведений граждан может легко спровоцировать целую череду исков и судебных разбирательств, что приведет к серьезным юридическим издержкам, огласке и ухудшению репутации.
Работодатель может уволить служащего, допустившего утечку… Однако сам работник может подать в суд на компанию, если она не защищает персональные данные. |
Кроме того, следует рассмотреть новые положения ТК РФ. В октябре 2006 года вступил в силу федеральный закон от 30.06.2006 N 90-ФЗ «О внесении изменений в Трудовой кодекс РФ…». Этот нормативный акт вносит в ТК самые многочисленные изменения за весь период действия Кодекса. Прежде всего, новый закон приравнял разглашение персональных данных другого работника, ставших известными в связи с исполнением служебных обязанностей, к разглашению охраняемой законом тайны. В результате такой проступок может повлечь увольнение. Соответствующий пункт прописан в разделе «Прекращение трудового договора» ТК. Вдобавок, установленный ст.391 перечень индивидуальных трудовых споров, подлежащих рассмотрению непосредственно в судах, дополнен спорами по заявлениям работников о неправомерных действиях (бездействии) работодателя при обработке и защите персональных данных работника. Соответствующее положение закреплено в разделе «Рассмотрение и разрешение индивидуальных трудовых споров». Таким образом, работодатель получает право уволить служащего, допустившего утечку персональных данных других сотрудников компании. Однако сам работник может подать в суд на свое предприятие, если оно не заботится о приватных сведениях персонала, как того требует закон. Другими словами, утечка личных сведений или злоупотребление ими могут привести к искам не только со стороны клиентов, но и со стороны самих сотрудников компании.
Посмотрим теперь на требования ФЗ «О персональных данных» к ИТ-безопасности организаций. Согласно ч.2 ст.5, «хранение [приватных сведений] должно осуществляться … не дольше, чем этого требуют цели их обработки», а «по достижении целей обработки или утраты необходимости в их достижении» чувствительная информация «подлежит уничтожению». Это означает, что, например, электронный магазин обязан уничтожать персональные сведения своих покупателей, которые были собраны для осуществления оплаты за покупку. Если же транзакция уже осуществлена, деньги магазином получены, а данные покупателя (например, номер кредитной карты, адрес и т.д.) все еще остаются в базе данных компании, то это является нарушением закона. Срок, в течение которого уже ставшие ненужными персональные данные должны быть уничтожены, устанавливается ч.4 ст.21 длиной в три рабочих дня. Отметим, что речь здесь идет именно о персонифицированной информации. Если же сведения обезличены, то есть по ним нельзя определить, какому гражданину они принадлежат, то уничтожать эти данные не обязательно. Другими словами, ФЗ не запрещает накапливать обезличенные выборки для проведения статистических исследований.
Закон также предусматривает возможности аутсорсинга обработки персональной информации. В связи с этим ч.6.4 гласит: «В случае если оператор на основании договора поручает обработку [приватных сведений] другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности … и безопасности персональных данных при их обработке». Таким образом, на первый план выходит требование к конфиденциальности личной информации граждан, которая гарантируется 7 ст. закона.
А у нас в квартире газ, а у Вас?
Есть один момент, на который почему-то многие не обращают внимания, когда речь заходит о новом законе. Дело в том, что все организации, которые обрабатывают персональные данные клиентов, обязаны направить в уполномоченный орган уведомление, предусмотренное ч.3 ст.22 настоящего ФЗ не позднее 1 января 2008 года. В этом уведомлении помимо всего прочего следует указать меры, принимающиеся для обеспечения безопасности приватных данных. Ряд исключений предусмотрен ч.2 ст.22. Например, если компания владеет приватными данными только своих сотрудников, то уведомление направлять не следует. Однако подавляющему большинству компаний, работающих на рынке розничных услуг, придется что-то написать в этом уведомлении. Вот после этого и начнется – если кто-то сэкономит на безопасности персональных данных, ему придется отразить это в уведомлении. Более того, факт высокой защищенности будет свидетельствовать о высокой конкурентоспособности компании. Так что потребители, госструктуры, конкуренты почти наверняка смогут сравнить эти параметры и составить более или менее правильное представление о рынке. Александр Антипов, руководитель проекта SecurityLab.ru |
В рамках 7 ст., «операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных». Исключений из этого требования всего два: если сведения являются обезличенными или общедоступными, то защищать их не обязательно.
Особое внимание, по мнению экспертов SecurityLab.ru, представители бизнеса должны уделить ст.19, регулирующей меры по обеспечению безопасности персональных данных при их обработке. Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия». Другими словами, бизнесу необходимо обеспечить мониторинг всех операций, которые инсайдеры осуществляют с приватными данными клиентов и служащих. Более того, специалисты SecurityLab.ru указывают, что это должен быть активный мониторинг, то есть такой, который позволяет заблокировать действия, нарушающие политику безопасности.
Между тем, реализация всех этих требований в ИТ-инфраструктуре организации, наверняка, потребует определенных усилий от специалистов компании, а также бюджетных ассигнований на покупку и внедрение новых средств защиты. В связи с этим у аналитического центра InfoWatch возник вполне резонный вопрос: «Какие препятствия на пути реализации требований нового нормативного акта являются наиболее существенными?». Распределение ответов представлено на рис. 5.
Легко видеть, что наибольшие сложности у российских специалистов вызывают сами требования закона, а точнее – их неконкретность. Эта причина возглавила список наиболее сложных для преодоления препятствий и набрала 49% голосов. По мнению экспертов InfoWatch, респонденты прекрасно понимают, что конечные требования к защите персональных данных будут сформулированы позже отдельным уполномоченным органом. Другими словами, сейчас компании могут реализовать лишь самые общие положения закона – внедрить систему защиты от утечек и инсайдеров, криптографические средства и разделение доступа.
России необходимо как можно быстрее выбрать уполномоченный орган, который будет следить за соблюдением требований закона «О персональных данных» и опубликует официальный стандарт по безопасности приватной информации. |
В свою очередь специалисты SecurityLab.ru отмечают бюджетные ограничения, ставшие для России уже стандартными. К сожалению, в нашей стране все еще слишком мало средств выделяется на автоматизацию, информационные технологии и безопасность. Что же касается нехватки квалифицированного персонала, то это вторая известная проблема – хороших кадров всегда не хватает. Особенно в тех случаях, когда от компаний требуют обеспечить безопасность персональных данных, но не объясняют конкретно, какие средства защиты или технологии должны быть внедрены обязательно.
Между тем, может лишь удивлять мнение 8% респондентов, согласно которому в России отсутствуют технологические решения для адекватной защиты персональных данных. На самом деле, отечественный рынок буквально переполнен всеми возможными решениями для защиты от внешних угроз, а уже несколько лет на нем представлены и системы защиты от инсайдеров и утечек.
Система защиты от утечек окупается менее чем за год
По мере того, как государство будет все дальше закручивать гайки, российским компаниям придется проявить сознательность и перекрыть постоянный ныне поток утечек персональных и конфиденциальных данных. Между тем, я уверен, что организациям не стоит ждать ужесточения нормативного регулирования. Внедрять системы защиты от утечек и инсайдеров надо уже сейчас, так как это экономически очень выгодно. Последние независимые исследования, например, «2006 Annual Study - Cost of a Data Breach», показывают, что средние убытки компании вследствие всего одной утечки составляют 4,8 млн. долларов. При этом опыт внедрения продуктов InfoWatch в крупных российских компаниях (от 500 рабочих мест) показывает, что служащие по халатности или злому умыслу допускают минимум одну утечку классифицированных данных ежемесячно. Более того, вероятные потери вследствие любой из этих утечек сразу же превышают стоимость внедрения в несколько раз Денис Зенкин, директор по маркетингу компании InfoWatch |
Следующим логичным вопросом стало выявление того, насколько сильно необходимо модернизировать ИТ-инфраструктуру организации, чтобы удовлетворить требованиям ФЗ «О персональных данных». Опрос специалистов показал, что большая часть респондентов (47%) считает этот проект достаточно сложным, но выполнимым. При этом информационную систему придется модернизировать довольно сильно. В то же самое время почти треть (32%) опрошенных профессионалов заявила, что такой проект вряд ли можно считать сложным: сильно менять ИТ-инфраструктуру не надо, хотя чуточку повозиться все-таки придется. Еще 7% респондентов высказались за то, что это очень легкий проект, а 14% - за очень сложный. Между тем, усредняя ответы можно сделать вывод, что подавляющее большинство респондентов считает требования ФЗ к защите персональных данных вполне подъемными (см. рис. 6).
По мнению экспертов InfoWatch, при должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с ФЗ не должна представлять для российских организаций больших трудностей. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако уже сейчас можно утверждать, что эти средства безопасности необходимо внедрить и без участия надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации в компании является залогом ее успешной деятельности.
На заключительном этапе исследования аналитический центр InfoWatch предложил респондентам рассказать о своих планах по внедрению технологических решений для защиты персональных данных (см. рис. 7). Оказалось, что 71% организаций уже запланировал покупку и внедрение такого рода продуктов. При этом лишь 16% компаний имеют все необходимые решения уже сейчас, а 13% не отягощают себя заботами, так как не верят в то, что ФЗ будет работать на практике. Тем не менее, если государство и дальше будет закручивать гайки, то эти 13% автоматически превратятся в провинившиеся компании, которые лихорадочно ищут и внедряют средства защиты.
Как указывают эксперты SecurityLab.ru, подавляющее большинство респондентов (71%) совершенно адекватно отреагировали на требования закона, которые фактически и ставили своей целью подвигнуть российские организации к устранению постоянных утечек. Можно с уверенностью утверждать, что инвестиции в соответствие ФЗ «О персональных данных» и внедрение систем защиты от утечек и инсайдеров окупятся очень быстро.
Итак, практически все респонденты (94%) убеждены, что России просто необходим закона «О персональных данных». При этом только 6 человек из 10 полагают, что требования нового норматива в сфере ИТ-безопасности будут работать на практике. Между тем, ровно 40% респондентов не верят в закон. Из них 7% полностью убеждено, что ситуация вообще не изменится. Т.е. утечки продолжатся, как и раньше. А 33% выразили сомнения в том, что норматив будет работать на практике. Тем не менее, эксперты InfoWatch видят положительные сдвиги хотя бы в том, что закон уже принят, а его требования, так или иначе, упорядочивают оборот приватных сведений в обществе.
И все-таки появляется вполне резонный вопрос – каковы препятствия на пути реализации требований ФЗ. Ведь что-то заставляет сомневаться чуть меньше половины (40%) респондентов. Оказывается, что наибольшие сложности у российских специалистов вызывают сами требования закона, а точнее – их неконкретность. Эта причина возглавила список наиболее сложных для преодоления препятствий и набрала 49% голосов. На втором месте оказались бюджетные ограничения с 20%, а на третьем нехватка квалифицированного персонала с 18%.
В то же самое время далее выяснилось, что подавляющее большинство опрошенных специалистов считают, что требования закона «О персональных данных» к ИТ-безопасности вполне реально внедрить на практике. Большая часть респондентов (47%) считает этот проект достаточно сложным, но выполнимым. В то же самое время почти треть (32%) опрошенных профессионалов заявила, что такой проект вряд ли можно считать сложным: сильно менять ИТ-инфраструктуру не надо, хотя чуточку повозиться все-таки придется. Усредняя ответы можно сделать вывод, что подавляющее большинство респондентов считает требования ФЗ к защите персональных данных вполне подъемными.
На заключительном этапе исследования аналитический центр InfoWatch предложил респондентам рассказать о своих планах по внедрению технологических решений для защиты персональных данных. Оказалось, что 71% организаций уже запланировал покупку и внедрение такого рода продуктов. Таким образом, можно сделать вывод, что подавляющее большинство респондентов (71%) совершенно адекватно отреагировали на требования закона, которые фактически и ставили своей целью подвигнуть российские организации к устранению постоянных утечек. Можно с уверенностью утверждать, что инвестиции в соответствие ФЗ «О персональных данных» и внедрение систем защиты от утечек и инсайдеров окупятся очень быстро.
5778 К? Пф! У нас градус знаний зашкаливает!