Депутаты Госдумы приняли окончательные поправки в закон «О персональных данных»

Депутаты Госдумы приняли окончательные поправки в закон «О персональных данных»

Согласно 19 статье этого закона, меры по обеспечению безопасности персональных данных физических лиц будут контролироваться ФСБ и ФСТЭК

Депутаты Государственной Думы отказали коммерческим организациям в возможности самим выбирать себе меры по защите информационных систем. В третьем чтении были приняты поправки к закону «О персональных данных», в 19 статье которого прописаны «Меры по обеспечению безопасности персональных данных при их обработке». Данная статья является критически важной для большого количества российских компаний, осуществляющих автоматическую обработку данных о физлицах.

Принятая редакция закона обязывает операторов телекоммуникационных услуг, банки, туристические агентства, страховые компании и пр. соблюдать технические требования по защите информации, устанавливаемые правительством.

Правительством было издано классификатор типов персональных данных в зависимости от количества субъектов данных и полноты информации о них. Федеральная служба безопасности (ФСБ) и Федеральная служба по техническому и экспортному контролю (ФСТЭК), непосредственно разрабатывают требования к защите информации и имеют право осуществлять контроль над выполнением этих требований.

Данный закон был принят еще в 2006 году, но в нем была введена отсрочка нормы о защите информации до 1 января 2010 года. Впоследствии Госдума продлевала этот срок дважды, в последний раз до июля 2011 года.

В мае этого года депутатами было принято решение не откладывать срок очередной раз, но облегчить требования закона. Законопроект с поправками, внесенный председателем комитета Госдумы по финансовым рынкам Владиславом Резником и принятый в первом чтении, предполагал следующую редакцию статьи 19: «Правительство устанавливает требования к защите персональных данных только в государственных и муниципальных информационных системах в случаях, когда такая обработка данных предусмотрена законами».

Соответственно, ФСБ и ФСТЭК могли бы контролировать меры по защите информации только в этих системах. Кроме того, отдельный пункт статьи гласил, что оператор персональных данных и субъект этих данных (физическое лицо) могут сами договориться о принимаемых мерах защиты. Однако во втором чтении депутаты одобрили поправку главы комитета по конституционному законодательству и государственному строительству Владимира Плигина, предложившего совсем иную редакцию статьи 19. Согласно принятому документу, правительство классифицирует уровни защиты информации, а требования к защите устанавливают ФСБ и ФСТЭК. Центробанк и отраслевые министерства могут принять нормативные акты, описывающие угрозы при обработке данных в соответствующих сферах, а отраслевые ассоциации и саморегулируемые организации могут дополнить перечень угроз. Все эти документы также подлежат согласованию с ФСБ и ФСТЭК.

Правительство также может определить перечень информационных систем, не относящихся к государственным и муниципальным, контроль за защитой информации в которых будут осуществлять ФСБ и ФСТЭК. Принятая редакция статьи 19 также налагает на операторов персональных данных ряд дополнительных требований: использовать сертифицированные средства защиты, оценивать эффективность используемых мер защиты до ввода информационной системы в эксплуатацию, устанавливать правила доступа к персональным данным и производить регистрацию всех действий с ними, обеспечивать восстановление информация в случае ее несанкционированного удаления.

Таким образом, законодатели не только передумали упрощать требования 152-ФЗ, но и ввели новые требования. Источник в крупной телекоммуникационной компании объясняет произошедшее лоббистскими усилиями ФСБ и ФСТЭК, поскольку аккредитованные при них структуры будут получать доход от сертификации систем обработки персональных данных. Если закон в таком виде вступит в силу, всем компаниям, обрабатывающим данные о физических лицах, придется смоделировать угрозы для соответствующих систем и внедрить комплекс технических мер защиты.

Речь идет об установке следующих подсистем: разграничения доступа, криптографической защиты информации, антивирусной защиты, обнаружения вторжений, анализа защищенности, аудита событий безопасности и межсетевого экранирования. Кроме того всем операторам необходимо пройти сертификацию уже имеющихся средств защиты информации и изменить архитектуру корпоративной информационной системы для реализации функций защиты. В результате, расходы на установку системы обработки персональных данных для разных компаний могут составлять от 10 до 200% годового оборота плюс операционные затраты на техническую поддержку системы защиты составят 10-15% от стоимости самих систем.

Экспертное сообщество ИБ-специалистов выразило свое недовольство принятым вариантом поправок в открытом письме президенту Дмитрию Медведеву, которое подписали Александр Бондаренко, Алексей Волков, Алексей Лукацкий, Александр Токаренко и Евгений Царев. “Российским операторам персональных данных законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества, - говорится в письме. - Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных”.

Далее эксперты отмечают, что операторы с большой вероятностью переложат расходы на субъектов персональных данных. В письме также отмечается, что законопроект не проходил антикоррупционную экспертизу. По мнению его авторов, создаются предпосылки для вывода информационных систем за пределы России в страны Евросоюза, “где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта”. Авторы обращения просят президента отклонить законопроект, направить его на общественные слушания и доработку.

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!