ФЗ 152 - спросят максимально, но по минимуму
В Москве прошел очередной, второй по счету, но еще не ставший традиционным межотраслевой Форум директоров по информационной безопасности. Несмотря на название мероприятия, мне не показалось, что основную часть делегатов форума составляли именно директора по безопасности. Во-первых, сотрудников, отвечающих за безопасность, в том числе - информационную, в компаниях именуют по-разному. Иногда их величают директорами по экономической безопасности, директорами департаментов защиты бизнеса, в общем, как угодно называют, лишь бы эти сотрудники не выглядели в глазах окружающих и проверяющих органов обычными «охранниками», а то ведь могут и лицензию соответствующую потребовать. Тем не менее, начальники отделов информационной безопасности и даже директора по безопасности на форуме также присутствовали.
Из разговоров с делегатами я узнал, что собрались, главным образом, чтобы узнать, кто как готовиться к новому году и новому закону о защите персональных данных, который станет главным новогодним подарком для многих компаний. Готовятся, как я понял, в основном, своими силами, поскольку компании, которые предлагают «защиту» от закона просят много, а обещания их выглядят туманными, как и сам закон. Все «безопасники» понимают, что закон описывают на конференциях и форумах одни люди, подготовительные меры предлагают другие, а проверять придут третьи. Вот с последними и придется договариваться. Пока что, понять какие нарушения грозят неминуемым штрафом, а какие простым предупреждением и за что придется расплачиваться лицензией на основной вид деятельности никто не в состоянии.
Чиновникам хорошо к закону готовиться, - сетуют коммерсанты, - они же не своими деньгами расплачиваются, и эффективность бизнес-процессов их мало волнует. На форуме поговаривали, что некоторые госструктуры активно готовятся к новому году. Оригинальным способом: дают указание перекрыть доступ филиалов к интернету, а затем выпускают инструкцию, по которой подразделения должны обмениваться информацией только посредством курьеров. В определенном смысле это антикризисное решение - оно способствует созданию новых рабочих мест курьеров.
Бизнесменов на пороге нового года объединяет вот другая идея: почти все они не признают себя сколь-нибудь серьезными операторами данных. Кого ни спроси, будь то Microsoft (российское, разумеется, представительство) или крошечная фирма - больше третьей категории никто сам себе не дает. Другим - это пожалуйста. Но себе, да еще добровольно - никогда. И это, на первый взгляд, правильно. Согласятся ли с такой точкой зрения проверяющие - вот в чем вопрос. Но об этом доподлинно мы узнаем не ранее следующего года. А возможно и еще позднее, поскольку в Госдуме сейчас лежат на рассмотрении несколько законопроектов, благодаря которым сроки вступления в силу «карательной» части ФЗ 152 могут быть перенесены.
О том, как ситуацию со 152-м законом расценивают в Госдуме, участникам съезда рассказала ведущий советник аппарата по безопасности Госдумы РФ Елена Волчинская.
«Ситуация сложилась такая», - пояснила Елена Волчинская, - «лишь 5% операторов данных считают, что они готовы к исполнению закона. И это операторы так считают, неизвестно еще что об этом думаю регуляторы».
Отсюда следует логичный вывод - если все в «королевстве» настолько неладно с соответствием закону, то виноваты не только верноподданные компании, но и закон. Это понимают и в Госдуме. Поэтому депутаты пытаются закон усовершенствовать. Благо недостатка в предложениях по изменению закона у чиновников нет. Поправки, по словам г-жи Волчинской, присылают в массовом количестве всевозможные ассоциации, союзы, объединения и партнерства, юрлица, не говоря уже о простых физических лицах, а также о физических лицах весьма непростых, коими в России, как известно, являются депутаты.
Основных идей по закону, насколько я понял г-жу Волчинскую, - три. Отложить принятие закона еще на какой-то срок, чтобы операторы еще раз подумали над своим поведением и подготовились наконец к закону как следует; отложить закон и принять поправки, чтобы операторы «подумали» о делах своих скорбных (касающихся персональных данных), затем посмотрели на поправки, подумали еще раз и опять таки приготовились к закону. Наконец, оригинальную идею высказало Министерство связи и массовых коммуникаций - закон принять, но проверки начать проводить не ранее, чем через два года.
Подход «просто взять и перенести сроки», по мнению г-жи Волчинской - неэффективный. Поскольку именно содержание закона и мешает операторам как следует подготовиться к нему.
Позиция Минсвязи, как считает Елена Волчинская, также поддержки не найдет. «Это не правовой подход - закон действует, а проверять его никто не будет» - пояснила свою точку зрения г-жа Волчинская. Выход один - переносить и править. В комплексе, так сказать. Жаль только, что и куда переносить и как править мало кому понятно. В деталях. В общих чертах всем все ясно, по крайней мере - в Госдуме.
Елена Волчинская объяснила, что когда закон принимали, ориентировались на нормы и практику Евросоюза. И, как оказалось, - напрасно. Потому что упустили самое главное - российский менталитет. А так же то, что европейская практика основана не только на законе о защите данных, но и на огромном количестве прочих законов, которые окружают этот закон. В Европе законы детализированы, учитывают особенности бизнеса и многочисленные частные случаи. У нас законодательство, по словам г-жи Волчинской, более «общее». Разницу в законодательствах не о чтобы совсем упустили из виду, нет, ее пытались, естественно, учесть, предусмотрев необходимость внесения изменений в 23 российских закона, связанных с законом о защите персональных данных. По этому поводу был принят отдельный закон, о внесении изменений. Еще в 2006-м году. Позже, правда, выяснили, что изменениям должны подвергнуться не 23, а 30 законов. Но это уже мелочи.
Короче говоря, менять будут все что нужно и можно. Судя по всему долго. Потому что быстро не получилось. И не получиться. Хотя меняют в спешном порядке. А когда у нас было по-другому? Сейчас - потому, что времени до наступления нового года осталось мало. После нового года особо спешный порядок внесения изменений может смениться более спокойным темпом законотворческих работ, или же наоборот чрезвычайно спешным, это уже как пойдет. Точнее, как прикажут. А еще точнее - как назовут эти темпы сами законотворцы.
В каком же направлении работают над законом? Как я понял Елену Волчинскую - в гуманном. Подгоняя закон под нужды операторов персональных данных.
«В рекомендациях парламентских слушаний предлагается дифференцированный подход к информационным системам государственных органов (и органов местного самоуправления) и негосударственных операторов» - рассказала Елена Волчинская. Для первой группы предполагается наличие требований, установленных регуляторами, и выполнение этих требований, «при условии, что эти требования будут исполнимы» (эта фраза г-жи Волчинской мне особенно понравилась - Л.Ч.). Для негосударственных операторов предусмотрена большая самостоятельность. «Предполагается, что мы внесем изменения в закон о лицензировании отдельных видов деятельности, существенно сузив сферу лицензирования деятельности по защите конфиденциальной информации. И оставив это лицензирование только для тех, кто осуществляет услуги по защите конфиденциальной информации. Это уже нагрузку на операторов сократит безусловно» - пояснила г-жа Волчинская.
В процессе изменения закона предполагается также либерализовать сферу сертификации и требования по сертификации. «Во-первых», - пояснила Елена Волчинская, - «потому, что не все операторы, в силу особенности бизнеса могут использовать сертифицированные средства. Во-вторых, потому, что использование несертифицированных средств - это большие накладные расходы на саму сертификацию, после осуществления которой, она полгода идет. После этого средства надо менять, если появились более эффективные, и смысл в этом процессе фактически теряется».
Также большие сомнения у законотворцев по поводу целесообразности сертификации информационных средств систем в силу их (систем) динамического развития. Всем очевидно, что через короткое время факт аттестации превращается в бумажку.
В Госдуме многие понимают, что негосударственные коммерческие организации защищали персональные данные и раньше, до появления ФЗ №152. В рамках тех правовых режимов, которые были установлены для компаний. У чиновников нет сомнений, что в определенной степени адвокаты, страховщики, кредитные организации, операторы связи и так далее - все они стремились свои данные сберечь. Потому, что в негосударственной сфере работает конкуренция. «Если оператор свои данные вывесит на рынок, то понятно, что он будет неконкурентоспособен. Это его стимулирует. Ему не нужны внешние стимулы, дополнительные», - заявила Елена Волчинская. (Закон №152, относится, очевидно, к «нужным» внешним стимулам - Л.Ч.) Что касается госструктур, то они защищают персональные данные гораздо хуже. «На рынке гуляют большей частью государственные базы данных», - уверена г-жа Волчинская.
«Мы предполагаем, что будет внесено такое положение в закон, которое позволяет защищать персональные данные в том режиме, в котором они осуществляются в силу специфики каждого конкретного вида деятельности» - выразила надежду Елена Волчинская. То есть госструктурам, специфика работы которых не предполагает конкуренции, в один прекрасный момент придется несладко. А бизнесу? «Мы хотим максимально в тело закона включить минимальные требования для негосударственных систем», - максимально понятно объяснила ситуацию с бизнесом Елена Волчинская.
(Через несколько дней после Форума Госдума приняла в первом чтении законопроект о переносе срока вступления в силу статьи ФЗ 152 о приведении информационных систем в соответствие с требованиями закона о персональныхданных. Теперь у операторов появился шанс заполучить "дополнительный" год для подготовки систем, а у законотворцев есть время для приведения в порядок самого закона.)
Опубликовано 25.11.2009