Наиболее серьезные проблемы вызвали в бюджетной сфере требования двух законов: «Об электронно-цифровой подписи" (ФЗ-1) и "О персональных данных" (ФЗ-152). Они устанавливают порядок обработки данных в информационных системах практически всех российских предприятий. Бюджетным организациям приходится труднее всего, поскольку они должны внедрять специальные средства защиты, а с другой стороны — то же государство не выделяет бюджетным организациям достаточного количества ресурсов для выполнения собственных требований.
Неисполнимый ФЗ-1
Закон "Об ЭЦП" был принят в 2002 году. Его разработчики вроде бы ставили перед собой важные задачи — обеспечить компании и организации инструментарием для юридически значимого электронного документооборота. Однако требования закона удалось реализовать не сразу — около шести лет пришлось выстраивать необходимую для него инфраструктуру. Кроме того, исполнению ФЗ-1 препятствовал ряд проблем.
Например, ЭЦП является атрибутом электронного документа, но юридически закрепленного понятия об "электронном документе" на момент принятия ФЗ-1 не было. Планировалось принять соответствующий закон "Об электронном документе", однако это до сих пор не сделано. В результате трактовка понятия ЭЦП, как атрибута электронного документа, вызывает разногласия у юристов.
В тексте закона также указано, что ЭЦП является аналогом собственноручной подписи, хотя на самом деле это не так. Дело в том, что собственноручную подпись может поставить только сам человек, и все подделки можно выявить с помощью экспертизы. В то же время ЭЦП может поставить любой человек, имеющий доступ к секретной части подписи, и такую подделку эксперт выявить не в состоянии. Поэтому эксперты МВД считают электронную подпись не собственноручной, называя ее электронной формой печати.
Закон предписывает субъекту, за которым закрепляется ЭЦП, самостоятельно обеспечить сохранность секретной части сертификата, что на практике реализовать очень сложно. Большинство людей, которым по долгу службы требуется работать с электронной подписью, не представляют себе, как можно защитить подпись, и даже не понимают, как она работает. Поэтому граждане часто передают право на распоряжение секретной информацией специалистам по ИТ, что создает существенные законодательные проблемы и возможность признания ЭЦП недействительной.
Для реализации ФЗ-1 нужно было развернуть инфраструктуру публичных ключей, которая создавалась очень долго и сформировалась только в последнее время. Важным элементом этой инфраструктуры является корневой удостоверяющий центр, который был создан агентством "Росинформтехнологии" в рамках проекта Общероссийского Государственного Информационного Центра (ОГИЦ). Сейчас ответственным за инфраструктуру электронного правительства и за корневой УЦ также назначена компания "Ростелеком". Она, кроме того, является ответственным исполнителем целевой программы "Электронная Россия" и других программ автоматизации бюджетной сферы и государственных органов России.
В целом же влияние ФЗ-1 на рынок безопасности оказалось отрицательным, поскольку позиция сертифицирующих органов в отношении зарубежных алгоритмов шифрования до сих пор остается непреклонной: ни одно средство защиты, использующее такие алгоритмы, не пройдет процедуру сертификации. Из-за этого бюджетным организациям и предприятиям приходится внедрять инструменты генерации ЭЦП, разработанные отечественными специалистами, и эти разработки стоят дороже иностранных аналогов, хотя имеют меньший функционал. Фактически ФЗ-1 торпедировал возможность применения зарубежных коммерческих систем защиты электронных документов в госсекторе.
Избыточные требования
ФЗ-152 был принят в 2006 году и также разрабатывался в рамках международных соглашений.
Алексей Лукацкий, менеджер по развитию бизнеса Cisco, отметил: "В соответствии с действующим законодательством и подзаконными актами ФСТЭК и ФСБ требования по защите персональных данных применяются к любым типам организаций, вне зависимости от их формы собственности. Поэтому любая бюджетная организация обязана проводить целый ряд мероприятий по внедрению систем предотвращения вторжений, систем анализа защищенности, установке межсетевых экранов".
Закон предписывает использовать для защиты персональных данных только сертифицированные средства. А поскольку персональные данные на текущий момент есть во всех предприятиях и организациях, то сертифицированные средства защиты должны быть установлены фактически везде.
Вместе с тем, требования по защите баз данных с персональными сведениями оказались сильно завышены. Для защиты данных высшей категории, таких как информация о здоровье, социальном положении или религиозных взглядах, спецслужбы потребовали установки систем защиты, которые ранее использовались для охраны государственных секретов. Кроме того, закон трактует персональные данные очень широко — под его определения подпадают списки сотрудников, телефонные справочники, истории болезней и т.д. Защита таких объемов информации сильно тормозит работу любой ИТ-системы.
Закон также предоставляет избыточные права владельцам персональных данных, которые могут потребовать удалить свои данные из информационной системы в очень короткий срок. Кроме того, для обработки персональных данных требовалось письменное разрешение владельца данных, что не всегда возможно обеспечить, например, для уже составленной базы пациентов поликлиники.
Вместе с тем, в требованиях ФЗ-152 содержатся уже известные положения. Лукацкий так комментирует ситуацию: "В действительности новых требований в области персональных данных не так много — большинство из них известны еще по пресловутым СТР-К, являющимся обязательными для всех госструктур. Однако бюджетные организации — это не только органы власти. Всем остальным бюджетникам — медицинским и образовательным учреждениям, различным ФГУП придется немало повозиться, приводя свои информационные системы в соответствие с требованиями законодательства".
В большинстве бюджетных организаций персональные данные требуются для реализации основных функций учреждения, и их очень тяжело вынести за пределы информационной системы. Как следствие, бюджетные предприятия должны тратить дополнительные средства на приведение своих информационных систем в соответствие с требованиями закона, при том, что получившиеся системы оказываются менее производительными и бедными функционально.
Требования обоих законов по сертификации средств защиты очень жестки. Для сертификации по высшим классам защищенности, например, требуются предоставлять исходные коды продуктов специалистам тестовой лаборатории, на что иностранные компании соглашаются редко. В результате имеющиеся на рынке защитные системы конкурируют между собой не по функциональным возможностям и ценам, а по набору сертификатов и консультационных услуг, способствующих решению проблем с проверяющими органами.
"Никаких инноваций требования по защите персональных данных не несут, скорее наоборот, — жалуется Лукацкий. — Поэтому говорить можно скорее о стагнации или даже о регрессе на рынке бюджетных ИТ в контексте персональных данных". Фактически ФЗ-1 и ФЗ-152 ограничивают конкуренцию и создают барьеры для развития информационных систем бюджетных учреждений.