Сообщение:#29 5611 » Чт 16 ноя, 2006 17:24 »
Похоже, что ко всему привыкший российский ИТ-бизнес “не въехал”, как говорит молодёжь, в то, что за “засада” таится для него в Законе о персональных данных (далее ЗПД). Да простит мне читатель этот масс-медийный сленг, но подпрыгнуть тут есть от чего. Начнём с того, что за нарушение закона ответственность несёт руководитель фирмы и это сулит ему, мягко говоря, серьезные неприятности — от крупного штрафа до тюремного заключения.
То есть стимул соблюдать закон есть. Но проблема в том, как его соблюсти? Возьмём хотя бы п. 1 из статьи 7 закона: “1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных”. Ключевое слово здесь “конфиденциальность”. Что значит — обеспечить конфиденциальность? Это означает, что используемая для хранения таких данных вычислительная система и её ПО должны быть сертифицированы под обработку и хранение конфиденциальных данных уполномоченными на то органами. Я не слишком хорошо представляю возможности такого органа по сертификации в обозримые сроки сотен тысяч действующих в России корпоративных компьютерных систем. Если закон будет активно проводиться в жизнь (в чём нет большой уверенности, так как это достаточно трудно сделать технически), то по меньшей мере потребуется проведение сертификации на основе Единой государственной системы сертификации. Закон же о техническом регулировании, действующий с 2003 г., и определяющий порядок сертификации товаров и услуг, хотя и регулирует правила необязательной сертификации в области защиты информации, но к нему пока нет необходимых технических регламентов, которые всё ещё находятся в стадии разработки.
Кстати, очень интересно, а как они будут сертифицировать находящиеся в других странах ВЦ инофирм, работающих в России и занимающихся сбором персональных данных в CRM- и ERP-системах? Непонятно также, насколько будет применим закон к госорганизациям — не будет же государство сечь само себя. Как считает эксперт, с которым я обсуждал этот вопрос, там они назовут персональные данные служебными и выведут их из-под действия данного закона, как по существу выведен из-под него процесс сбора персональных данных для федеральных систем.
Допустим, в вашей конкретной компании нет CRM с базой клиентов и даже нет отдела кадров с личными делами сотрудников. Не радуйтесь! У вас, как ни крути, есть бухгалтерия. Этого достаточно, чтобы попасть под ЗПД.
Если вернуться к сертификации на хранение конфиденциальных данных, то даже такой термин, как “несанкционированный доступ, НСД” юридически полностью не определён. В ряде документов прописано, что это недозволенный доступ с помощью штатных средств компьютерной системы. В таком случае — кража диска с информацией, это уже не НСД. Ну а как же быть с пресловутыми электромагнитными полями? Каждый компьютер, как и каждый человек, имеет свой уникальный электромагнитный портрет и “светится” на достаточно большое расстояние. Те, кто работал в почтовых ящиках в советские времена, помнят обшитые металлом экранированные помещения ВЦ, в которых у меня почему-то всегда болела голова. Так что, снова будем экранироваться?
Ну, скажем, такие утечки информации доступны только богатым и влиятельным организациям со спецаппаратурой, и от них могут защищаться только не менее богатые и влиятельные. Но даже если вы обеспечите на фирме физическую охрану периметра, это вряд ли вам поможет, ведь самый существенный изъян кроется в сертификации ПО. Подавляющее большинство фирм использует западный софт — если не КИС, то ОС, СУБД, почтовую систему, сетевое ПО и т. д. Не секрет, что в ПО практически всех западных производителей полно закладок; имеются они, как говорят эксперты, в достаточном количестве и в ПО с открытыми исходными текстами. А поскольку корпоративные системы, как правило, не полностью изолированы от Интернета, то вопрос сертификации ПО становится одним из самых острых. Допустим, что какая-то версия ОС или СУБД после многомесячного исследования сертифицирована. Первый же патч (например, заплатка, закрывающая уязвимость или исправляющая обнаруженную ошибку) сводит эту сертификацию на нет.
К сожалению, ни у Мининформсвязи, ни у правительства страны нет ни понимания вопроса, ни программы создания отечественного сертифицированного ПО. (В результате, как мне рассказывают, в открытой печати объявляются тендеры на доработку Windows! А как вам нравятся тендеры, в условиях которых заложены версии Windows, уже не поддерживаемые производителем? Ну и кто будет латать обнаруженные в них уязвимости? И можно ли сертифицировать такие системы?). Супер-пупер!
Те попытки создания трёх отечественных аналогов западных ОС, о которых я знаю, бесславно провалились. Причин этому несколько, но главная в том, что у софтверных компаний, работающих на госструктуры, должны быть железные многолетние гарантии финансирования. Нынешняя система ежегодных тендеров в данном случае может использоваться только для выбора ИТ-компании, но если она выбрана — будьте добры! Окажись такая фирма на полгода без денег, и весь проект, на который истрачены десятки миллионов рублей (из нашего кармана, кстати), можно выбрасывать в корзину — программисты разбегутся (а что им остаётся делать?), и систему некому будет поддерживать. Что, собственно, как мне кажется, и случилось. Разумеется, государство, в свою очередь, обязано иметь гарантии от работающих на него фирм и установить их статус, чтобы не повторялись истории типа перехода команды Б. Бабаяна в корпорацию Intel.
Разумеется, для появления подобного отечественного ПО необходим грамотный госзаказ и правильное управление им. Если вспомнить, что систему управления “Бураном” в её финальной версии писало всего тридцать человек, то стоимость одного подобного трёхлетнего проекта лежит в пределах весьма реальных 15—25 млн. долл.
Закон о персональных данных вступает в силу с 1 января 2007 г. Ещё год дан для подачи заявок в уполномоченный орган. Думаю, хорошим новогодним подарком для бизнеса в 2008-м будет стук морозным утром в дверь: “А как вы храните персональные (конфиденциальные) данные?” Ну а дальше, как обычно…
Впрочем, в ЗПД операторам персональных данных предлагается использовать криптографические средства защиты данных и будет глупо ими не пользоваться. http://pcweek.ru/