Роскомнадзор разрабатывает новые стандарты защиты персональных данных

Игорь Щеголев, министр связи и массовых коммуникаций, дал поручение Роскомнадзору разработать новые стандарты по защите персональных данных. Разрабатываемые стандарты должны оказать помощь в предотвращении утечек информации из информационных систем различного уровня. В соответствие с поручением, Роскомнадзор подготовит предложения по внесению изменений в существующую законодательную базу, которые должны обеспечить защиту прав субъектов – обладателей персональных данных.
Защита персональных данных является одним из основных направлений работы Роскомнадзора. На сегодняшний день существует достаточно большое количество пробелов, которое ведомству, совместно с Минкомсвязи, нужно устранить. В первую очередь, это формы документов, обеспечивающие режим конфиденциальности персональных данных, а также трудности в сертификации средств для защиты персональных данных.
Эксперты положительно оценивают начинания Минкосвязи и Роскомнадзора в сфере разработки новых стандартов по защите персональных данных. Такие стандарты востребованы в России и их разработка давно назрела, так как ситуация в этой области достаточно плачевная. Персональные данные можно без труда и за достаточно небольшие деньги приобрести на «черном» рынке, что недопустимо для современного государства. Правовая основа для защиты персональных данных проработана недостаточно глубоко для нормализации ситуации.
С другой стороны, эксперты отмечают тот факт, что деятельность Минкомсвязи в данном направлении может носить декларативный характер. Введение новых стандартов по защите персональных данных должно быть, прежде всего, направлено в практическую плоскость. Хотелось бы, чтобы усилия Минкомсвязи и Роскомнадзора были направлены как на разработку новых стандартов, так и на контроль над их соответствующим соблюдением и исполнением ответственными за это лицами.

«В целом, к любым нововведениям, позволяющим повысить степень защиты персональных данных, я отношусь положительно. Законодательство и подзаконные нормативные акты, регулирующие вопросы защиты персональных данных, проработаны в Российской Федерации пока в основном на теоретическом уровне. Сейчас как раз самое время перенести теорию в русло практики. Необходимо обеспечить за счет государственной поддержки выработку и распространение общедоступных образцов систем персональных данных и их повсеместное (бесплатное или за символическую плату) внедрение у любых операторов, как государственных, так и частных. Кроме того, необходимо предпринимать меры по доведению до всех лиц, признаваемых «операторами» для целей законодательства о защите персональных данных, информации об их обязанностях. В настоящее время уровень информированности в этой сфере остается довольно низким. Вслед за этим правомерно будет ставить на повестку дня вопрос об ужесточении ответственности операторов за незаконную обработку, в том числе распространение персональных данных. Это, на мой взгляд, единственно возможный цивилизованный путь развития в Российской Федерации».

«В России уже давно назрела необходимость в кардинальных мерах по регулированию вопросов защиты персональных данных, поскольку в данной сфере мы далеко отстали от наших западных соседей. Вместе с тем, все прекрасно понимают, что такая отсталость влияет на многие сферы жизни, начиная с прав на личную информацию и заканчивая влиянием на бизнес. Одним из значительных шагов на этом пути стало принятие в 2006 году закона о «Защите персональных данных» №152-ФЗ, который стал серьезной вехой на пути становления российской законодательной базы о защите персональной информации. Однако, очевидно, что одного закона мало, должны быть сделаны и реальные шаги в этом направлении, которые, как правило, выражаются в принятии соответствующих нормативных актов министерствами и ведомствами, а также формированием профильных служб, которые отвечают за разработку и внедрение соответствующих стандартов и правил. В ходе реализуемой административной реформы Федеральная служба по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор) была реорганизована в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), которой переданы полномочия в области государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных. То есть, в целом, разработка и внедрение новых стандартов в области защиты персональных данных, является логичным шагом на пути становления реорганизованной службы. Данные стандарты, на мой взгляд, должны самым позитивным образом отразиться на текущей ситуации, при которой незащищенность персональных данных достигла угрожающих объемов. Говорить о том, что с помощью внедрения новых стандартов удастся, однозначно, избежать утечек и распространения персональных данных, видится преждевременным, так как проблема комплексная и требующая комплексного решения. Проблемой законодательства в области защиты персональных данных является масса пробелов, то есть налицо ситуация, когда законодательство не успевает за техническим прогрессом, что, в свою очередь, ведет ко всякого рода злоупотреблениям и нарушениям. Однако позитивно уже то, что в данном направлении ведется достаточно активная и серьезная работа. Конечно, полностью снизить риск утечки и, тем более, гарантировать сохранность персональных данных будет очень сложно, даже при наличии новых стандартов, так как, в наш век информация является одним из самых востребованных товаров на черном рынке, а пока есть спрос, будет и предложение. Тем не менее, введение новых стандартов и другие шаги, осуществляемые в данном направлении, помогут вывести ситуацию на более цивилизованный уровень».

«Хотя бы то, что Минкомсвязи заявляет о проблеме и пытается что-то сделать, является положительным сигналом. Самое главное, чтобы такие заявления не были просто политическим жестом, а привели к реальным шагам в данном направлении. Я полностью поддерживаю введение новых стандартов по защите персональных данных. Вопрос в том, чтобы ответственность за сохранность таких данных была правильно определена, и к субъектам такой ответственности, в случае утечки персональных данных, применялись соответствующие санкции, согласно разработанным правовым актам. На сегодняшний день такую ответственность на себя никто брать не хочет и всячески от нее открещивается. Результативность новых стандартов будет обеспечена только тогда, когда будут назначены ответственные должностные лица, в противном случае ситуация никак не изменится, и все инициативы останутся только на бумаге».

«Безусловно, введение новых стандартов необходимо исключить или хотя бы существенно снизить утечку в информационных системах. Не секрет, что утечка информации происходит как из информационных систем организаций, в том числе и операторов связи, так и из информационных систем органов государственной власти. Государство, сделав первый шаг в направлении защиты персональных данных, приняло Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Между тем, чтобы этот закон заработал, необходимо введение стандартов, позволяющих полноценно защищать персональную информацию. В настоящее время закон обязывает привести в соответствие с требованиями закона информационные системы персональных данных до 1 января 2010 г. Между тем, пока нет стандарта, которым они должны соответствовать, но есть обязанность получать согласие субъекта на обработку его информации, предоставлять информацию о том, какие лица имеют доступ к персональным данным, использовать шифровальные (криптографические) средства защиты информации. Здесь возникает немало проблем у различных компаний, работающих с персональными данными: длительный и сложный процесс сертификации средств для защиты информации, разработка порядка/процедуры, позволяющей получать согласие на обработку персональных данных, др. Например, перед страховыми компаниями уже сейчас стоит нелегкая задача: каким образом получить согласие на обработку персональных данных не только самого страхователя, но и выгодоприобретателя, и застрахованного лица. Кроме того, необходимо, чтобы лица, работающие с персональными данными, четко понимали ответственность, которую они несут за нарушение порядка сбора, хранения, использования или распространения информации о гражданах. Если в рамках трудовых отношений случаи привлечения к дисциплинарной ответственности не редкость (выговор, взыскание, увольнение), то дела в рамках административного и уголовного производства встречаются не так часто. Да и размер штрафа в рамках привлечения к административной ответственности не так высок – 500 - 1000 руб. для должностных лиц и 5000 - 10000 руб. для юридических лиц. Поэтому в данном случае был бы правильным комплексный подход к решению проблемы, начиная от введения стандартов, упрощения процедуры сертификации до ужесточения ответственности за нарушение порядка работы с персональными данными».

«Законодательные инициативы Минкомсвязи и Роскомнадзора, на мой взгляд, направлены не в ту сторону. Конечно, если после появления новых стандартов с рынков Москвы гарантировано исчезнут базы МВД, ГИБДД и абонентские базы сотовых операторов, то я только за. Но такого не произойдет, а, значит, это неэффективный метод. Считаю, что работу в данном направлении было бы лучше начать с публичных судебных процессов над теми, кто украл эти данные и за счет этого наживается. Найти таких людей несложно, только почему-то этого так никто и не сделал. Вопрос – почему?»