Планируя номер по защите персональных данных в свете скорого вступления в силу закона № 152-ФЗ, мы намеревались сделать акцент на технологиях внедрения требований этого нормативного акта, однако, как это все чаще случается с ИТ, основные проблемы с их внедрением и эффективным применением сегодня к технологиям почти не относятся. Действительно, авторы этого номера, содержащего тем не менее обзор всех инструментов, позволяющих создавать защищенные системы, отметили, что неактуальность рекомендуемых в нормативных актах решений, связанных с регламентацией организации персональной безопасности, и убогая модель угроз на фоне строгости нормативно-методических документов лишь укрепляют мнение компьютерной общественности в том, что выполнение требований ФЗ направлено не столько на повышение уровня защищенности персональных данных, сколько на бюджеты компаний и, в конечном счете, на деградацию производительности информационных систем.
На этом можно было бы и закончить, если бы не объективная тенденция роста интереса во всем мире к инновациям в сфере информационной безопасности. Мировой рынок средств информационной безопасности в прошлом году составил 13,5 млрд долл., что, по данным аналитиков, почти на 20% выше показателя 2007 года. Очевидно, что западный бизнес считает информационную безопасность одним из своих важнейших приоритетов, несмотря на любые экономические коллизии. Как отмечает в своей статье Валерий Коржов, закон «О персональных данных» косвенно побуждает участников рынка информационной безопасности к построению современной системы защиты, которая может решать задачи не только сохранения персональных данных, но и полного контроля всей информационной системы. Поскольку в той или иной форме персональные данные имеются у всех компаний, то этот закон можно воспринять как заботу государства об информационной защите любого вида деятельности. Однако на пути соблюдения всех требований закона, а точнее, его подзаконных актов, во множестве плодимых чиновниками регулирующих органов власти, случайно или нет возводятся баррикады, преодолеть которые компаниям до 1 января 2010 года не удастся.
Имеющиеся на сегодняшний день нормативные документы вызывают неоднозначную реакцию – мнения операторов персональных данных разделились: одни решили, насколько это возможно, приводить к январю 2010 года информационные системы в соответствие с требованиями закона, а другие предпочли дождаться результатов правоприменительной практики или изменения нормативных документов. Действительно, далеко не все нормативные правовые акты ФСТЭК прошли регистрацию в Министерстве юстиции и были опубликованы. Мало того, доступ к ряду этих документов сильно ограничен разного рода грифами. На этой почве открывается большое поле деятельности для компаний, способных оперативно построить корпоративную систему защиты информации и подготовить необходимый пакет документов для проверяющих органов. Другим вариантом является передача функции защиты сторонним организациям на аутсорсинг, однако и этот выход может быть связан с изменением ИТ-архитектуры компании и потребует времени и дополнительных расходов.
В статье Леонида Черняка отмечается, что защита персональных данных операторами не освобождает каждого гражданина от необходимости самостоятельно заботиться о собственной информационной безопасности. Несмотря на все заверения потенциальных исполнителей закона и чиновников, сомнительно, что персональные данные жителей России действительно будут надежно защищены. Зато теперь к перечню инспектирующих органов добавился еще один, со всеми причитающимися ему привилегиями. Правда, успокаивает то, что и в Западной Европе с практикой защиты личных данных дела не намного лучше, хотя история первых законов о защите прав личности уходит там еще в Римскую империю. В эпоху Сети индивиду становится все сложнее оставить при себе личные данные и надежды на то, что простой законодательной мерой можно исправить положение: перечень утечек безграничен, против них нет одного лекарства, и ни № 152-ФЗ, ни какой-то другой нормативный акт изменить существующее положение не в состоянии.
Появление еще одного уровня контроля между потоками данных неизбежно окажет влияние на работу систем автоматизации государственных учреждений, например на службу одного окна. Введение нового закона, как оказалось, потенциально способно усложнить информационные связи между ведомствами; например, неясно, как вычленить из всего объема передаваемой информации сведения, попадающие под определение персональных, доступ
к которым ограничен.
Как показывают наши регулярные обзоры зарубежной периодики, проблема безопасности персональных данных волнует и западные страны, правда, в основном в плане этики цифрового мира. Сегодня все большее число служб доступно в режиме онлайн, в котором люди занимаются бизнесом и устанавливают новые общественные контакты. С одной стороны, феномен цифрового мира повышает уровень доступности сервисов и общественных взаимодействий, а с другой приводит к появлению ряда этических проблем, связанных с сохранностью персональных данных. Преимущества цифрового мира очевидны, но он может также содействовать преступности и терроризму, на что очень любят ссылаться авторы законов о защите информации. Дилемма двойного применения одной и той же технологии – как во благо, так и во зло – свойственна не только ИТ, но в большинстве случаев люди пытаются найти способы извлечения из технологии пользы при одновременной минимизации вреда. Однако добиваться этого лишь путем введения новых законов, степень выполнимости которых у нас общеизвестна, наивно – ни один инструмент или закон не сделает работу какой бы то ни было системы непогрешимой.