english
 
 
 
 
Нужен канал 100 мбит...
Канал Колпино, пр. Л...
Поток E1 ул. Захарье...
Ripe не передает ip ...
Продам PA ip адреса
Пора продавать :(
Скотное-Вартемяги ?
Волокно СПБ - Всевол...
Продам стойки СПб са...
Канал от муфты в рай...
29.08.2016
Оператор как интергатор: Cisco тоже ставит на модель cloud computing
   Максим Репин, менеджер по развитию решений Cisco для совместной работы в России и СНГ рассказал IP-News о становлении облачного решения Cisco для операторов, развивающих унифицированные коммуникации

14.07.16 23:36:13


Персоналии
01.07.1975
Электроник Програм Сервис, Генеральный директор
06.05.1980
TimeWeb.ru, Генеральный директор
31.12.1985
WEBA - оптическая сеть, Исполнительный директор
Все персоналии

Интервью
02.10.2009
Персональные данные накроют медным тазом

С приближением даты 1 января 2010 года, когда на всех будет распространен ФЗ «О персональных данных», компании, в том числе и телекоммуникационного рынка, озаботились вопросами безопасности информационных систем персональных данных (ИСПД), которые должны быть приведены в соответствие требованиям вышеуказанного закона. «Состояние систем безопасности у операторов связи оставляет желать лучшего, а времени на подготовку уже практически не осталось. Но при этом, есть вероятность, что действие закона будет еще оттянуто», - прогнозирует исполняющий обязанности генерального директора компании «Вэлл-Ком»  Владимир Подзоров.

IP-News: Почему рынок телекома сейчас так волнует приближающаяся дата 1 января 2010 года?

Владимир Подзоров:
Дело в том, что в соответствии с п.3 ст.25 Федерального закона № 152 «О Персональных данных», принятого еще в 2006 году, информационные системы персональных данных (к которым относятся, в том числе, и биллинговые базы данных операторов связи), созданные до дня вступления в силу этого ФЗ, т.е. до 29 января 2007 года, должны быть приведены в соответствие с ФЗ к 1 января 2010 года. А волнует этот факт рынок телекома потому, что данный ФЗ вкупе с существующими подзаконными актами ФСТЭКа, Роскомнадзора и ФСБ обладает, по мнению многих экспертов в области информационной безопасности, колоссальной коррупционной емкостью. Привести свои информационные системы в четкое соответствие с нынешними требованиями — задача, очень сложно реализуемая. А подчас — вообще не реальная.

IP-News: Какие организации являются операторами персональных данных?

Владимир Подзоров: В соответствии со 152-ым ФЗ оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, которое организует и (или) осуществляет обработку персональных данных, а также определяет цели и содержание такой обработки. Под это определение попадают, в том числе, и все операторы связи, которые располагают достаточно серьезными клиентскими базами.

IP-News: Почему принятый в 2006 году федеральный закон вступает в силу только сейчас?

Владимир Подзоров: На самом деле этот закон уже 2,5 года как действует, просто тем операторам, которые на момент вступления в силу закона (29.01.2007) уже обладали существующими информационными системами персональных данных, была дана «отсрочка» на приведение своих систем в соответствие с этим законом.

При этом стоит отметить, что после 29 января 2007 года ряд новых операторов связи уже сдавали в эксплуатацию Роскомнадзору свои вновь созданные сети связи и, соответственно, вновь созданные «информационные системы персональных данных» (ИСПД). Эти ИСПД уже должны быть приведены в полное соответствие с ФЗ № 152.

 Однако, как прокомментировали коллеги из Роскомнадзора, на сегодняшний день в СЗФО подобных требований к операторам связи еще не предъявлялось за отсутствием внутренних приказов Роскомнадзора, разъясняющих требования к операторам и порядок проведения совместных проверок с ФСТЭК и ФСБ. Кроме того, стоит сказать, что не все необходимые нормативно-правовые акты на сегодняшний день уже приняты. А те, что приняты, вызывают множество противоречивых мнений даже со стороны представителей «Регулятора». Некоторые эксперты находят в существующих подзаконных актах противоречия Федеральному закону, и даже в самом ФЗ — противоречия с «Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», ратифицированной Россией Федеральным Законом от 19 декабря 2005 г. №160-ФЗ.

IP-News: А как же те компании, которые были образованы после вступления в силу Закона «О персональных данных»?

Владимир Подзоров: По данным, опять же, близким к Роскомнадзору, в Петербурге не было прецедентов, при которых к оператору связи предъявлялись требования, касающиеся обработки персональных данных. Это обусловлено тем, что у Роскомнадзора пока нет хорошо проработанных требований, методик и порядка проведения таких мероприятий. Однако известно также, что порядок и методика совместных трехсторонних проверок с участием представителей ФСТЭК, Роскомнадзора и ФСБ сейчас активно прорабатываются всеми тремя органами.

Кроме того, нужно отметить, что в Москве уже есть случаи совместных проверок ФСТЭК и Роскомнадзора, в результате которых операторам связи были выданы соответствующие предписания. Насколько мне известно, по приведенной ФСТЭКом статистике, данные проверки показали отсутствие информационных систем персональных данных, которые четко бы соответствовали ФЗ у 100% проверяемых.

IP-News: Как бы Вы оценили сегодняшнее состояние систем защиты персональных данных у операторов связи?

Владимир Подзоров: Здесь я отвечу просто – сейчас компании телекоммуникаций, да, впрочем, и многих других рынков, очень часто не могут обеспечить полноценную защиту информации, которая представляет собой коммерческую тайну. А утверждаю я это потому, что знаю о нескольких случаях утечки ПД у некоторых известных операторов. Да и наверное не только мне об этом известно. Что греха таить, у самих недавно был такой прецедент. Пресечь его, предотвратив попытку ухода базы, оказалось нелегко. И в нашем случае, как и, наверное, в большинстве других, главным слабым звеном оказался человеческий фактор. Люди до сих пор не осознают ответственность за распространение коммерческой информации. Приходится им напоминать, что ответственность существует, вплоть до уголовных статей.

Т.е. проблема действительно есть. Но то, как наш законодатель и регулятор стремятся ее решать, вызывает очень много вопросов. Почему не делается упор на мировой опыт, в том числе на опыт США, который, надо сказать, намного богаче российского? Там же государство определяет лишь требования к общим принципам в построении систем защиты персональных данных. У нас же ситуация иная, при которой регулятор стремится детально разработать критерии применяемых средств защиты, по сути, вынуждая некоторые организации приобретать соответствующие решения. При этом, в нормативных актах применяется огромное количество расплывчатых и туманных формулировок, которые позволяют их трактовать как в одну, так и в другую сторону.

IP-News: В чем нонсенс?

Владимир Подзоров: А нонсенс состоит в том, что, по оценкам экспертов, в России на сегодняшний день насчитывается от 3 до 7 млн. операторов персональных данных. Сертификационных же лабораторий ФСТЭКа – около 100. Таким образом, как подсчитал один очень известный эксперт рынка информационной безопасности, для того, чтобы «прошерстить» всех и привести все ИСПД каждого оператора в соответствие со 152-м Законом, понадобится примерно 1000 лет.

IP-News: Но ведь операторам давалось время на то, чтобы привести свои системы обработки персональных данных в соответствие требованиям.

Владимир Подзоров: Дело в том, что, несмотря на вступление в силу 152-го ФЗ ещё в 2007 году, подзаконные акты, разъясняющие и уточняющие требования ФЗ, появились значительно позже. Совместный приказ ФСБ, ФСТЭК и Роскомнадзора вышел только в феврале 2008. Методики ФСТЭК — и того позже. Кстати, что касается методик, то это вообще отдельная тема для обсуждения. Дело в том, что любой нормативно-правовой акт федерального органа исполнительной власти должен быть зарегистрирован в Минюсте и опубликован в открытой печати. ФСТЭКовские же методики мало того, что в Минюсте не зарегистрированы, так еще имеют гриф ДСП («для служебного пользования») и распространяются только среди лицензиатов за деньги. Такие документы в соответствии с «Правилами подготовки нормативно-правовых актов» применяться не могут, как не вступившие в силу.

Субъективно — вообще не понимаю, что в этих методиках конфиденциального и почему их нельзя опубликовать. Но факт остается фактом.

На мой взгляд, подготовленных к таким проверкам организаций единицы. В основном, это крупные компании с ежегодным бюджетом на информационную безопасность. Сюда входят компании из сферы добычи, транспортировки, переработки нефти и газа, энергетические компании и т.д. Эти организации уже давно и плодотворно сотрудничают с системными интеграторами по вопросам информационной безопасности. Вместе с тем, надо понимать, что даже  таким компаниям, у которых, казалось бы, все относительно в порядке, при желании можно будет найти, «что предъявить», в силу нечеткости и расплывчатости формулировок.

IP-News: Что будет требоваться от оператора персональных данных?

Владимир Подзоров: В соответствии с ФЗ оператор должен, прежде всего, направить уведомление в Роскомнадзор и сообщить о том, что у него обрабатываются ПД. Однако очень важным нюансом для операторов связи является то, что, если персональные данные, которые они обрабатывают, получены в связи с заключением договора, стороной которого является субъект персональных данных, и данная информация не распространяется и не передается третьим лицам без согласия субъекта и используется только для исполнения договора об оказании услуг связи, то обработку таких данных оператор вправе осуществлять без уведомления.

Кроме того, оператору следует определиться с рядом вопросов, ответы на которые в дальнейшем повлияют не только на реальный уровень защищенности данных в его информационной системе, но и существенно скажутся на тех затратах, которые компании придется произвести для принятия требуемых мер защиты. Такими вопросами являются в частности: к какой категории относятся обрабатываемые в системе персональные данные (вопрос уже нетривиальный, а вот ответ на него скажется на многом), относится ли информационная система к типовой или к специальной («правильно» ответить на этот вопрос — тоже нелегкая задача, ошибка может привести к лишним затратам на построение систем защиты требуемого класса). А также компании придется ответить на вопрос: целесообразно ли исключить из информационной системы часть обрабатываемых в ней данных, или вообще сделать данные в ней обезличенными и тем самым свести к минимуму затраты на средства защиты.

Что касается самих мер защиты, то они будут зависеть от категории персональных данных, которыми располагает оператор, их объема, а также от характеристик безопасности персональных данных, обрабатываемых в операционной системе.

IP-News: Что предполагают исключения? В каких случаях оператор может не следовать требованиям к обработке персональных данных?

Владимир Подзоров: Об исключениях я уже немножко поговорил ранее. Их в федеральном законе описано достаточно, рекомендую всем, кто еще не озаботился темой персональных данных, этот федеральный закон почитать. Исключения предполагаются в первом же пункте, который требует получить согласие субъекта (а в нашем случае это клиент оператора связи) на обработку его персональных данных. Компании следует помнить, что в случае, если обработка персональных данных ведется только для исполнения договора с клиентом и информация о нем не передается третьим лицам, то согласия клиента на такую обработку закон не требует.

Следующее исключение касается уведомления о том, что компания обрабатывает или желает в рамках своей деятельности обрабатывать персональные данные. Здесь оператор вправе осуществлять без уведомления Роскомнадзора обработку персональных данных, полученных в связи с заключением договора, стороной которого является субъект ПД, если данная информация не распространяется, а также не предоставляется третьим лицам без согласия субъекта и используется оператором исключительно для исполнения указанного договора и заключения договоров с данным клиентом.

В этом вопросе интересно то, что оператор связи, в основном, в этих целях и использует персональные данные, соответственно, в этом случае компания может не отсылать уведомление в Роскомнадзор. При этом надо понимать, что у регулятора, очевидно, будет своя позиция по этому вопросу. Насколько мне известно, в органах, которые будут осуществлять контроль в области персональных данных, до сих пор существует некоторая неразбериха по большинству вопросов в этом направлении.

Но различного рода уведомления – это лишь малая часть проблемы. Главный вопрос состоит в том, как защищать?

IP-News: Как же оператору защитить свои информационные системы персональных данных?

Владимир Подзоров: Напомню, что 13 февраля 2008 года был подписан Приказ Федеральной службы по техническому и экспертному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ «Об утверждении Порядка проведения классификации информационных систем персональных данных». Документ разъясняет некоторые вопросы категорирования персональных данных и классификации информационных систем как раз с целью определения уровня их защиты. Но и здесь кроется масса «подводных камней».

IP-News: Где же кроются эти «подводные камни»?

Владимир Подзоров: Они содержатся в формулировках подзаконных актов, которые недостаточно четкие для всех участников. По опросам, 60% операторов ПД считают нормативные документы в этой области непрозрачными и непонятными для себя. А чем менее четко прописаны какие-то моменты, тем больше разница в том, как они применяются в разных случаях. На мой взгляд, так называемая «коррупционная емкость» законов и подзаконных актов в области персональных данных просто колоссальная.

Разберем, например, классификацию персональных данных в соответствии с приведенным выше «совместным приказом»:
К категории 1 относятся персональные данные, которые раскрывают расовую, национальную принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимной жизни.

Вторая категория - это те персональные данные, которые позволяют идентифицировать субъекта и получить о нем дополнительную информацию, за исключением тех, что относятся к категории 1. Здесь возникает вопрос: что подразумевается под дополнительной информацией? Понятно, что в любой системе персональных данных фамилия, имя, или отчество не хранятся сами по себе. Им всегда соответствуют еще какая-то дополнительная информация: номер договора, контактный телефон, адрес, количество приобретенных товаров, количество проходов на территорию и прочее.

К категории 3 относятся персональные данные, позволяющие идентифицировать субъекта персональных данных. Здесь опять же не совсем прозрачно - что является идентификацией субъекта. Могут ли паспортные данные или номер телефона с ФИО идентифицировать субъекта? Является ли имя вместе с отчеством и номером телефона идентификацией субъекта? А фамилия и номер договора? Вопросов существует достаточно много. А позиция по ним различных представителей регулятора  также различная.

К 4-й категории относятся обезличенные и (или) общедоступные персональные данные.

Для типовых информационных систем предусматривается соответствующая классификация по уровням защиты в зависимости от класса обрабатываемых ПД и их объема. Но если посмотреть на формулировки каждой категории, то можно сделать вывод, что персональные данные операторов можно оценивать по-разному. А соответственно, и применяемые меры защиты со стороны оператора могут противоречить мнению на этот счет проверяющих органов.

Меры защиты персональных данных различных категорий кардинально отличаются друг от друга. Чем выше класс, тем мощнее защита персональных данных. Например, для организации защиты 1 и 2 класса ПД оператору необходимо аттестовать типовую автоматизированную систему и получать лицензию ФСТЭК по технической защите информации. А если система относится к 3 категории, то получать лицензии уже не требуется, что значительно сокращает затраты – а разница всего в двух словах, которые никто толком не понимает (получение «дополнительной информации»). 

IP-News: Что будет в случае несоответствия информационной системы требованиям по ее безопасности ФЗ № 152?

Владимир Подзоров: Замечу, что уже предусмотрена ответственность за нарушение положений Закона вплоть до административного приостановления деятельности предприятия.
 
Понятно, что такие значимые организации, как больницы, располагающие персональными данными 1-й категории, закрывать никто не будет, т.к. это уже превратится в шаг политический. Также, скорее всего, будет действовать особый подход и в отношении, допустим, крупных операторов связи, приостановление деятельности которых будет критичным для тех же самых субъектов персональных данных. А вот когда дело коснется мелких компаний, например, домашней сети, то здесь вопрос может решаться достаточно категорично.

Но при всем этом, источники, близкие к ФСБ и Роскомнадзору, утверждают, что подзаконные акты и требования к обработке ПД, меры пресечения нарушений до конца еще не проработаны. В связи с этим существует мнение, что срок вступления закона для всех операторов ПД будет отложен.

IP-News: Что делать?

Владимир Подзоров: Для начала, каждой компании предстоит оценить целесообразность вложения каких-то денежных средств для обеспечения безопасности своих информационных систем. На сегодняшний день никто не сможет Вам ответить на вопрос: сколько среднему оператору связи будет стоить полное обеспечение соответствия своих систем требованиям закона «О персональных данных»? Только лишь заинтересованные организации в лице аудиторских компаний начнут загибать пальцы, перечисляя какие мероприятия необходимо для этого организовать: провести аудит, потом проект информационной безопасности, посчитать количество субъектов ПД и т.д. Можно подходить по-разному и суммы будут различаться. Однако каждая компания должна помножить возможный ущерб на вероятность наступления критической ситуации, и отсюда будет видна картина разумно оправданных затрат на безопасность персональных данных, которые обрабатываются в организации.

Также стоит для себя решить, каких специалистов привлекать – внутренних или внешних.


На мой взгляд, сейчас будет актуальна услуга по обеспечению безопасности систем хранения и обработки персональных данных.

IP-News: Почему Вы считаете, что услуга по обеспечению безопасности систем персональных данных будет пользоваться спросом?

Владимир Подзоров: Многим организациям, которым правительство окажет «повышенное внимание» в свете выхода закона № 152, будет более целесообразным выделить ресурсы на системы защиты персональных данных. Для этого можно полностью отдать на аутсорсинг эту проблему.

В силу того, что все большую популярность набирает хранение информации за пределами офиса, например, в дата-центрах, уже можно говорить о том, что рынок готов к делегированию работы по обеспечению безопасности систем обработки и хранения персональных данных в руки сторонним организациям.

IP-News: Как, на Ваш взгляд, может быть организована такая модель взаимодействия?

Владимир Подзоров: Оператор связи, например, может предоставить услуги по хранению информации другого юридического лица на своих дисковых массивах, где применяются системы отказоустойчивости, резервного копирования или даже криптографической защиты. Другое дело, когда речь идет о конфиденциальных данных, составляющих коммерческую тайну. В этом случае решение будет индивидуальным.

Рассмотрим случай, когда компания является оператором персональных данных, но не оператором связи, и комиссия потребовала включить в ее систему защиты информации криптографические средства или средства защиты от утечки по внешним каналам связи. Для организации это достаточно дорогостоящий проект внедрения. Но в случае, если оператор связи, оказывающий данной компании услуги связи, имеет лицензии ФСТЭК на техническую защиту информации, он, соответственно, может выступить провайдером такой услуги для организации.

В совокупности с ростом интереса на услуги аутсорсинга безопасности в целом, т.е. не только персональных данных, но и администрирования внутренней сети для мелких и средних офисов, антивирусной защиты, предоставления в аренду защищенных каналов связи с применением средств криптографической защиты, я бы прогнозировал еще более существенный рост спроса на такой сервис после вступления в силу требований 152 ФЗ. И очевидно, что операторы связи отреагируют на этот спрос.

Странно, что сегодня игроки рынка телекоммуникаций стремятся придумать что-то новое, чтобы повысить ARPU клиента, но не видят, что само законодательство дает им в руки инструмент для дополнительного заработка.


Дарья Тренина
 


Обсудить в форуме



Просмотров: 6523


Новости spbIT.ru
О сайте | Регистрация
Copyright c 2002-2014. Сайт является средством массовой информации. 18+
При использовании материалов сайта необходима ссылка на источник в согласованном формате.
Создание сайта - NetExpert
Интернет-провайдеры Санкт-Петербурга