Защита персональных данных от утечек
В конце июля прошлого года в России был принят федеральный закон «О персональных данных», который выдвигает целый ряд требований к представителям бизнеса и госструктур в плане защиты приватной информации граждан. Будет ли работать закон на практике? Насколько сложно реализовать его требования? Как к положениям закона относятся в российских компаниях? Ответы на все эти вопросы дает последнее исследование компании InfoWatch.
Каждая организация обладает, как минимум, двумя группами непубличной информации: персональные данные и конфиденциальные сведения. К первой относится личная информация сотрудников и клиентов (паспортные данные, сведения о доходах и т.д.), а ко второй — данные, составляющие коммерческую тайну. Однако несмотря на то, что таких групп две, на протяжении долгого времени компании заботились о защите только своей конфиденциальной информации. Представители бизнеса понимали, что утечка персональных данных далеко не всегда приводит к подрыву конкурентоспособности компании, чего нельзя сказать об утечке конфиденциальных сведений. В госструктурах ситуация аналогичная, только чиновники пекутся не о конкурентоспособности, а о собственном месте, которого легко можно лишиться, разгласив конфиденциальную информацию. Таким образом, у российских компаний не было стимула защищать персональные данные своих клиентов и сотрудников.
Не было вплоть до тех пор, пока 27 июля 2006 года Президент Российской Федерации В.В.Путин не подписал закон № 152-ФЗ «О персональных данных». В сферу действия этого нормативного акта попадают все юридические и физические лица, на попечении которых находятся приватные сведения других граждан. Новый закон требует, чтобы каждая организация, владеющая персональными данными своих сотрудников, клиентов, партнеров и т.д., обеспечивала конфиденциальность всей этой информации. В случае нарушения положений закона компания может лишиться лицензии и подвергнуться судебному преследованию со стороны граждан, чьи приватные данные были скомпрометированы. Кроме того, виновные лица, нарушившие требования закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.
В связи с этим возникает целый ряд вопросов относительно требований закона к мерам безопасности, которые должны быть реализованы в компаниях. Чтобы разобраться в этой проблеме, обратимся к исследованию «Защита персональных данных по закону», в ходе которого компания InfoWatch опросила 300 посетителей портала SecurityLab.ru. Уникальность данного исследования обусловлена не столько поднятой проблематикой, сколько целевой аудиторией. Дело в том, что база респондентов состояла из профессионалов в области ИТ-безопасности, каждому из которых до проведения опроса были предоставлены справочные материалы о требованиях закона к защите персональных данных. Таким образом, подавляющее большинство респондентов действительно смогли выразить свое компетентное мнение относительно адекватности и сложности требований этого нормативного акта.
Ключевые положения
Рассмотрим основные результаты исследования InfoWatch. Прежде всего, подавляющее большинство специалистов (94%) убеждено, что России был просто необходим закон «О персональных данных». Судя по всему, беззащитность приватной информации и постоянные утечки баз данных этих респондентов просто «достали».
В то же время 40% опрошенных профессионалов не верят, что закон будет работать на практике. В чем же проблема? Оказывается, в недостаточной конкретности требований закона (49%) и нехватке средств на внедрение адекватных систем защиты (20%). Другими словами, России необходимо как можно быстрее выбрать уполномоченный орган, который будет следить за соблюдением требований закона «О персональных данных» и опубликует официальный стандарт по безопасности приватной информации.
Между тем требования закона большинством голосом (79%) признаны вполне реализуемыми. Более того, в 71% организаций уже запланировано внедрение новых ИТ-продуктов, обеспечивающих соответствие с положениями закона.
Портрет респондента
Более половины (62%) опрошенных ИТ-профессионалов работают преимущественно в малых компаниях (с числом компьютеризованных рабочих мест до 250). На долю среднего бизнеса (251-1000 компьютеризованных мест) пришлось 20%, и, наконец, самая малочисленная группа респондентов представляла крупный бизнес — 18% (рис. 1).
Рис. 1. Число компьютеризованных рабочих мест
в организациях (источник: InfoWatch
и SecurityLab, 2007)
Такое внимание к портрету респондентов обусловлено тем, что опрашивались в основном подготовленные участники. Так, на следующем этапе респондентам было предложено оценить, насколько хорошо они знают требования ФЗ «О персональных данных» в сфере ИТ-безопасности. Аналитический центр InfoWatch также предоставил анкетируемым специалистам справочные материалы, обобщающие положения закона относительно защиты приватных сведений. В результате подавляющее большинство (90%) респондентов смогли почувствовать себя уверенно и высказать компетентные суждения относительно требований ФЗ (рис. 2).
Рис. 2. Глубина знаний о требованиях закона
в сфере ИТ-безопасности (оценки даны по шкале от –5
(«вообще ничего не знаю») до +5 («знаю
все требования, вплоть до деталей»)) (источник:
InfoWatch и SecurityLab, 2007)
Таким образом, исследование было проведено на подготовленной целевой аудитории, которая имела базовые знания о требованиях закона «О персональных данных» и могла объективно оценить их эффективность, сложность и практичность.
Кому нужен закон?
Оказывается, практически всем. Беззащитность персональных данных — это больной вопрос, который необходимо было решить уже давно. По крайне мере, почти все респонденты (94%) убеждены, что закон «О персональных данных» в нашей стране не просто нужен, а крайне необходим (рис. 3). Не согласились с этой точкой зрения лишь 6%, из которых ровно половина (3%) сомневается в своем выборе.
Рис. 3. Нужен ли сегодня России закон
«О персональных данных»? (источник: InfoWatch
и SecurityLab, 2007)
По мнению аналитического центра InfoWatch, гражданам уже надоело находить свои персональные и особо чувствительные, например финансовые, сведения в общедоступных базах данных. Между тем такие базы свободно продаются на местных рынках, в Интернете и постоянно рекламируются в спаме. В базе инсайдерских инцидентов InfoWatch на момент написания статьи содержалось уже более 500 утечек, случаев саботажа, промышленного шпионажа и т.д., в том числе целый ряд широкомасштабных утечек из российских коммерческих и государственных организаций. Причем каждый из этих инцидентов привел к разглашению персональных сведений нескольких миллионов россиян.
Будет ли закон работать?
По этому вопросу единого мнения опрашиваемым достичь не удалось. Хотя проблема назрела, далеко не все уверены, что принятый закон сможет ее решить (рис. 4). Каждые шесть респондентов из десяти надеются, что закон сыграет положительную роль в борьбе с утечками. Из них 54% полагают, что норматив будет работать, но не в полную силу, а 6% абсолютно уверены, что закон окажется эффективным — приведет к сокращению числа утечек, а за сами утечки начнут привлекать к суду.
Рис. 4. Будет ли закон
«О персональных данных» работать на практике?
(источник: InfoWatch и SecurityLab, 2007)
Однако 40% специалистов придерживаются абсолютно противоположного мнения. Они вообще не верят в новый закон «О персональных данных». Из них 7% убеждены, что ситуация вовсе не изменится, то есть утечки продолжатся, как и раньше, а 33% выразили сомнение в том, что норматив будет работать на практике.
По мнению аналитического центра InfoWatch, опасения 40% респондентов вполне обоснованны. Так, согласно статье 19 части 2 ФЗ «О персональных данных», Правительство РФ должно установить требования к «обеспечению безопасности [персональных данных] при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Контроль над выполнением этих требований, согласно статье 19 части 3, будет возложен на «федеральный орган исполнительный власти, уполномоченный в области противодействия техническим разведкам и технической защите информации». Другими словами, принятие закона (даже с указанными в нем требованиями к безопасности приватных сведений) является лишь первым шагом на долгом пути к цивилизованному обращению персональных данных. Следующей ступенью должно стать назначение или создание уполномоченного органа и четкая формализация требований к защите личной информации. Тем не менее эксперты InfoWatch солидарны с теми 60% респондентов, которые возлагают надежды на новый закон. Все-таки первый шаг — всегда самый трудный. Так что уже сегодня есть первые предпосылки того, что власть урегулирует оборот приватных сведений в России.
В чем проблема?
В таблице кратко изложены основные положения закона о защите персональных данных. Как видите, они довольно абстрактны, но законы для того и существуют, чтобы задавать общий вектор развития. Соответствующие стандарты должны быть сформулированы специальным уполномоченным органом, как того требуют статьи 19 части 2 и 3. Тем не менее уже сегодня можно утверждать, что для реализации положений федерального закона понадобится некоторая модернизация ИТ-инфраструктуры компаний, а также внедрение новых продуктов ИТ-безопасности. В связи с этим возникает вопрос о препятствиях, которые стоят на пути эффективного применения закона, ведь определенная часть респондентов сомневается, что закон вообще будет работать.
Требования закона «О персональных данных»
к информационной безопасности
Номер статьи и пункта |
Краткое изложение требования |
Ст. 5 ч. 2, ст. 21 ч. 4 |
Хранение приватных сведений должно осуществляться не дольше, чем этого требуют цели их обработки, а по достижении целей обработки или утраты необходимости в их достижении персональная информация должна быть уничтожена. Срок, в течение которого ставшие ненужными персональные данные должны быть уничтожены, устанавливается в три рабочих дня |
Ст. 19 ч. 1 |
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий |
Ст. 19 ч. 4 |
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования и распространения |
Как оказалось, наибольшие сложности у российских специалистов вызывают сами требования закона, а точнее — их неконкретность (рис. 5). Это обстоятельство возглавило список наиболее сложных для преодоления препятствий (49%). По мнению экспертов InfoWatch, респонденты прекрасно понимают, что конечные требования к защите персональных данных будут сформулированы позже отдельным уполномоченным органом. Другими словами, сейчас компании могут реализовать лишь самые общие положения закона — внедрить систему защиты от утечек и инсайдеров, криптографические средства и разделение доступа.
Рис. 5. Препятствия на пути реализации
требований закона «О защите персональных данных»
(источник: InfoWatch и SecurityLab, 2007)
Среди других препятствий следует отметить бюджетные ограничения (20%) и нехватку квалифицированного персонала (18%). Причем если проблемы с финансированием стали уже притчей во языцех, то недостаток профессионалов частично можно объяснить неконкретностью требований закона к защите персональных данных. Ведь здесь требуется не просто внедрить соответствующие политики и средства безопасности, но и достичь соответствия положениям федерального закона, а последние как раз сформулированы расплывчато.
Что делать?
Хотя конкретные требования к безопасности приватной информации еще не сформулированы, уже сегодня можно оценить сложность тех мероприятий, которые придется претворять в жизнь, чтобы обеспечить соответствие положениям закона. Опрос специалистов показал, что большая часть респондентов (47%) считает проект модернизации ИТ-инфраструктуры достаточно сложным, но выполнимым. При этом информационную систему понадобится обновлять довольно существенно. В то же время почти треть (32%) опрошенных профессионалов заявила, что такой проект не так уж сложен: сильно менять ИТ-инфраструктуру не надо, хотя немного повозиться все-таки придется. Еще 7% респондентов высказались за то, что это очень легкий проект, а 14% считают его очень сложным. Усредняя ответы, можно сделать вывод, что подавляющее большинство респондентов признает требования федерального закона к защите персональных данных вполне реализуемыми (рис. 6).
Рис. 6. Насколько сильно необходимо модернизировать
ИТ-инфраструктуру организации, чтобы удовлетворить
требования закона к конфиденциальности персональных данных?
(источник: InfoWatch и SecurityLab, 2007)
По мнению экспертов InfoWatch, при должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с законом не должна представлять для российских организаций большой трудности. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако их необходимо применять и без контроля надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации в компании является залогом ее успешной деятельности.
По мере того как государство будет закручивать гайки, российским компаниям придется проявить сознательность и перекрыть неиссякаемый ныне поток утечек персональных и конфиденциальных данных. Однако организациям не стоит опасаться серьезного ужесточения нормативного регулирования. Внедрять системы защиты от утечек и инсайдеров целесообразно уже сейчас, так как это экономически очень выгодно. Последние независимые исследования — «2006 Annual Study — Cost of a Data Breach», проведенные компаниями PGP и Vontu, — показывают, что средние убытки компании вследствие всего одной утечки составляют 4,8 млн долл. При этом опыт внедрения продуктов InfoWatch в крупных российских компаниях (от 500 рабочих мест) свидетельствует, что служащие по халатности или по злому умыслу допускают минимум одну утечку классифицированных данных ежемесячно. Более того, вероятные потери вследствие любой из этих утечек сразу же превышают стоимость внедрения систем защиты от утечек в несколько раз.
Когда делать?
Требования закона к защите персональных данных вряд ли удастся удовлетворить без внедрения новых продуктов ИТ-безопасности, и в российских организациях это прекрасно понимают (рис. 7). Так, 71% респондентов уже запланировали покупку и внедрение такого рода решений. При этом лишь 16% компаний имеют все необходимые решения уже сейчас, а 13% не собираются их приобретать, так как не верят в то, что федеральный закон будет работать на практике. Тем не менее если государство будет и дальше ужесточать регулирование, то этим 13% компаний придется в экстренном порядке принимать меры.
Рис. 7. Планирует ли организация
внедрять новые ИТ-продукты для того,
чтобы удовлетворять требованиям закона
к защите персональных данных? (источник: InfoWatch
и SecurityLab, 2007)
Судя по всему, подавляющее большинство респондентов (71%) совершенно адекватно отреагировали на требования закона, целью которого фактически и было подвигнуть российские организации на устранение постоянных утечек. Можно утверждать, что инвестиции в системы защиты от утечек и инсайдеров и меры, направленные на достижение соответствия закону «О персональных данных» окупятся очень быстро.
Выводы
Очевидно, что России уже давно был нужен закон «О персональных данных». По крайней мере, 94% респондентов с большим энтузиазмом восприняли принятие этого нормативного акта. Однако только 60% специалистов полагают, что закон будет работать на практике. А 40% респондентов вообще не верят в него, из них 7% убеждены, что ситуация вообще не изменится, то есть утечки продолжатся, как и раньше, а 33% выразили сомнение в том, что норматив будет работать на практике. Тем не менее эксперты InfoWatch видят положительные сдвиги хотя бы в том, что закон уже принят, а его требования так или иначе упорядочивают оборот приватных сведений в обществе.
Главным препятствием на пути реализации требований ФЗ «О персональных данных» является их неконкретность, что отметили 49% респондентов. На втором месте оказались бюджетные ограничения (20%), а на третьем — нехватка квалифицированного персонала (18%). Таким образом, необходимо как можно быстрее принять стандарт, четко регламентирующий, что необходимо предпринять компаниям, чтобы защитить персональные данные. Такой стандарт должен быть утвержден и опубликован специальным уполномоченным органом, который будет следить за соблюдением всех требований. В противном случае бизнес будет просто игнорировать требования закона и по-прежнему допускать утечки.
Между тем уже сегодня становится ясно, что закон в целом предъявляет вполне адекватные требования к защите персональных данных. Почти половина респондентов (47%) считает их соблюдение достаточно сложным, но выполнимым проектом. В то же время почти треть (32%) опрошенных профессионалов заявила, что такой проект вряд ли можно считать сложным: сильно менять ИТ-инфраструктуру не надо, хотя немного повозиться все-таки придется. Усредняя ответы, можно сделать вывод, что подавляющее большинство респондентов признает требования ФЗ «О персональных данных» вполне выполнимыми.
На заключительном этапе исследования аналитический центр InfoWatch предложил респондентам рассказать о своих планах по внедрению технологических решений для защиты персональных данных. Оказалось, что 71% организаций уже запланировали покупку и внедрение подобных продуктов. Таким образом, подавляющее большинство респондентов (71%) адекватно отреагировало на требования закона, целью которого фактически и было подвигнуть российские организации на устранение постоянных утечек.