В рубрику "Регулирование и стандарты" | К списку рубрик | К списку авторов | К списку публикаций
Ты ступаешь по огню, прикрытому обманчивым пеплом.
Гораций, "Оды"
Ассоциация кабельного телевидения России /\ (АКТР) совместно с братской Ассоциацией домовых сетей г. Москвы (АДСК) провели 29 сентября сего года семинар на тему: "Практические аспекты деятельности операторов связи по защите персональных данных". На семинаре присутствовали представители более 50 кабельных компаний, а также предприятий и организаций, как заинтересованных, так и причастных к этой проблеме (в том числе и тех самых, которые иногда называют "компетентными органами" ). В ходе семинара обсуждались вопросы особенности деятельности кабельных операторов по выполнению требований Федерального закона "О персональных данных".
Владимир Маковеев
Вице-президент АКТР
Хотя закон этот принят более трех лет назад (ФЗ-152 от 27.07.2006), но именно к концу этого года все системы обработки персональных данных должны быть приведены в соответствие с его требованиями. Так что было самое время напомнить кабельным операторам, что они не только операторы связи, но еще и операторы системы защиты персональных данных, а их абоненты еще и субъекты персональных данных, способные в этом качестве создать целую кучу осложнений (см. эпиграф).
Чувство справедливости обязывает нас отметить энергичные превентивные усилия издательского дома "Гро-тек", организовавшего в течение 2008-2009 года уже две весьма представительные всероссийские конференции по теме "Персональные данные", подготовленные "родным братом" ВС - журналом "Информационная безопасность".
В отличие от прошлогодней конференции "Персональные данные", на которой основной акцент делался на общеметодологических и юридических вопросах, на второй конференции (с числом участников более 350 человек и прошедшей 1 октября 2009 года) основное внимание было уделено практическому опыту построения систем и, что самое интересное, вопросам прохождения проверок.
С моей точки зрения, главным недостатком закона ФЗ-152 является, как говорят юристы, большой коэффициент "отсылочности", то есть значительная часть его положений не является нормой прямого действия и требует комментариев или подзаконных актов, формирующих механизмы применения закона. Поэтому в Минкомсвязи РФ, которое отвечает за общегосударственную политику в сфере обеспечения информационной безопасности в Российской Федерации, готовятся, по сообщениям прессы, официальные предложения о дополнениях и изменениях в законе (на основе 160 замечаний по содержанию закона от предприятий, частных лиц и общественных объединений), которые затрагивают в основном вопросы архивного дела, электронной торговли и трансграничной передачи данных. По общему мнению, многочисленные и разнообразные предложения о переносе времени готовности к проверкам всех систем защиты персональных данных с 1 января 2010 года на более поздний срок учтены, скорее всего, не будут, - просить отсрочку для закона, принятого более трех лет назад, неприлично, а для ряда должностных лиц попросту небезопасно. Кроме того, достаточно ясно, что никакая отсрочка не может повысить готовность действующих информационных систем: по почти забытому ныне закону Паркинсона "любая работа занимает все отведенное для нее время!". Так что надежды на отсрочку вполне эфемерны!
Еще одна очень существенная сторона дела - финансовая. Уверен, что авторы закона сознательно обошли ее стороной, понимая все трудности согласования такого проекта с министерствами "экономического блока", - по опубликованным данным, выполнение требований по защите персональных данных может увеличить общие затраты на информационные системы в среднем на 20%! Если коммерческие структуры, как "испокон веку" считается на Руси, достаточно хорошенько припугнуть - и они раскошелятся, то средства для бюджетной сферы всех уровней, как выяснилось, предусмотрены не были, а это многие миллиарды рублей: ведь даже в школах и районных поликлиниках могут найтись персональные данные, пользующиеся спросом на черном рынке.
Никто не спорит, а мировой опыт это подтверждает, что данный закон нужный и важный, но теперь уже ясно, что нам предстоит долгая и нервная работа по его совершенствованию и внедрению в жизнь и работу российских информационных систем.
Как и все в нашем веке, информатика в России стремительно развивается как технически, так и экономически, но, к сожалению, остается прежним униженное социальное и психологическое положение абонента (клиента), а также степень невежества и отсталая психология работников системы сервиса. Причем конфликт между коммерциализацией информационных услуг и их духовной сущностью сохранился, а кое в чем даже неприятно обострился. Кстати, клиент (в современном смысле этого слова) еще в античные времена считался слабым звеном правовой системы, поэтому явное неуважение к нему считалось опасным для общества.
Достаточно ясно, что обсуждаемый закон вызван к жизни проблемами, возникшими при широком внедрении автоматизированных систем обработки персональных данных клиентов в сетях массового обслуживания. Проблемы эти, как водится, вначале проявились всерьез за океаном, но лет 20 назад начали беспокоить Европу - и вот теперь докатились до нас. Это не только серьезно, это мне представляется началом нового важного процесса, когда безликий, скромный, лояльный российский потребитель быстро уходит в историю. Постепенно (и кризис этому способствует) в нашей стране должен возникнуть тот самый капризный клиент, который "всегда прав!".
Помните старую шутку: "Россия борется за демократию, а Европа - с ее последствиями!". Этот Закон "О персональных данных" одним своим появлением говорит о большом нашем шаге по пути прогресса - он направлен на борьбу с издержками нашей демократии, поскольку власти оказались не в состоянии при действующем законодательстве активно бороться с лихими хитрецами, торгующими в Интернете и на радиорынках базами персональных данных. Причем эти данные часто гораздо более деликатные, чем собираемые у своих клиентов нашими кабельными операторами. Ведь не зря сказано: "Если юристы -знатоки прав, то преступники - знатоки возможностей!"
В ходе семинара вице-президент АКТР А.К. Шишов в своем докладе рассказал о разработанном руководимой им фирмой "В-люкс" "Регламенте по организации безопасности персональных данных при их обработке в информационных системах персональных данных", а также об условиях возможного сотрудничества в этой сфере. Очень содержателен был инструктивный доклад представителей Роскомнадзора. В других докладах рассматривались основные организационно-технические аспекты защиты персональных данных.
Кабельные операторы на семинаре были очень активны и хотели понять:
В кулуарах семинара главным направлением бесед были ныне традиционные грустные размышления по поводу былой несвободы социализма и новых опасностей капитализма. На семинаре имелось так много желающих помочь операторам разобраться в рисках, которые создают для них требования нового закона, что было высказано пожелание (которое сейчас прорабатывается) повторить до конца года подобный семинар. Это нужно, чтобы все заинтересованные члены АКТР и АДСК смогли бы полностью подготовиться к возможным проверкам со стороны надзорных органов (ближе всех к нам, конечно же, Рос-комнадзор, но ведь после него могут появиться и другие, - в тексте закона (ст. 23) есть, например, упоминание о "противодействии техническим разведкам!").
Проблема защиты персональных данных, как уже было сказано выше, общемировая, и Россия пока находится на ее окраине, равно как и наша кабельная подотрасль - на окраине этой проблемы в стране. Поэтому нам не следует "делать из нее культа", но очень важно правильно сориентироваться в сложившейся ситуации и выбрать оптимальный класс для своей информационной системы. Все хорошо понимают, что гораздо более подробные базы персональных данных (это отмечалось на семинаре!) собираются в кредитных и страховых фирмах, следовательно, их система защиты должна быть сложнее и дороже, то есть более высокого класса.
Дискуссия на семинаре напомнила мне подходящую к моменту мысль из записной книжки Ильи Ильфа: "На маневрах перед атакующей цепью солдат из-за куста выскочил заяц и пустился наутек. Он считал, что вся атака направлена против него".
Точно так же операторы связи с их скромными базами данных, конечно же, не главная забота законодателей, хотя, как хорошо понимают наши читатели, в перспективе их роль преуменьшать было бы неправильно. Ведь при необходимости любой оператор мультисервисной цифровой сети с полноценным обратным каналом в состоянии за относительно короткий срок выяснить о своем абоненте гораздо больше "интересненького", чем знает любая страховая компания. Здесь нет ничего принципиально нового, в старых советских детективах следователь-новатор всегда интересовался библиотечным абонементом подозреваемого.
Уважаемый читатель! Не пора ли вам несколько расширить свой кругозор? Я вам искренне советую самому проштудировать (по старинке, с карандашом!) этот закон - средний по объему документ (25 статей!), и вы поймете, в какую сторону может усложниться ваша жизнь и работа в ближайшее время. Если же у вас появится живой интерес к этой теме, то советую прочесть хотя бы "по диагонали" более капитальный документ -"Доктрину информационной безопасности" от 2000 года. Известный чеховский герой - брандмейстер утверждал, что "самое главное в жизни -это каланча!". Прочтя эту "Доктрину", вы поймете, что он был не совсем прав.
Нужная подборка документов заботливо выложена на сайте Роскомнадзора.
Опубликовано: Журнал "Broadcasting. Телевидение и радиовещание" #7, 2009
Посещений: 11768
Статьи по теме
Автор
| |||
В рубрику "Регулирование и стандарты" | К списку рубрик | К списку авторов | К списку публикаций