22/09/2010

Непосредственной нормативно-правовой базой для отрасли информационной безопасности банков являются три федеральных закона: об электронной подписи, о персональных данных и о лицензировании деятельности, связанной с использованием криптографического оборудования. У каждого из этих нормативно-правовых документов своя непростая история, и каждый из них порой не совсем хорошо стыкуется с двумя другими, да и прочими действующими законами.

НЕПРОПЕЧЁНЫЙ ПИРОЖОК

Собственно, эти три закона регулируют всю IT-отрасль в широком смысле. Но банки, кредитно-финансовые организации используют информационные технологии в большинстве видов основной деятельности. Работа ведётся на компьютерных системах высокой сложности и посредством телекоммуникаций, проводятся операции с большими деньгами и конфиденциальными сведениями.

Высокий уровень ответственности в сфере информационной безопасности банков − объяснение повышенного интереса участников отрасли к развитию законодательной базы. Тем более болезненно воспринимаются нестыковки, двусмысленности отдельных норм и непродуманность механизмов реализации принимаемых законов на практике.

Начнём с электронной подписи: принятие 10 января 2002 года федерального закона «Об электронной цифровой подписи» под значащим номером один породило немалые надежды в IT-отрасли. Однако электронная подпись не получила широкого распространения из-за существенных пробелов в принятом законе.

В частности – не было ни юридического статуса электронного документа, ни регламентации повседневного применения, ни судебной практики использования этого IT-новшества. В свою очередь, Правительство РФ в установленные сроки не успело создать сети удостоверяющих центров.

LIGHT, PROFESSIONAL и HEAVY-DUTY

Когда все поняли, что доработке и усовершенствованию принятый закон не подлежит, подготовили проект нового федерального закона, который назвали «Об электронной подписи». Фактическая тавтология прилагательных «электронная» и «цифровая» была устранена. Этот законопроект проработан более серьёзно и определяет три «уровня» использования электронной подписи, от «бытового» до «профессионального».

Для максимально «облегчённого» варианта электронной подписи предусмотрены самые простые, прямые процедуры применения, предлагаемые Microsoft. «Легкая» электронная подпись максимально доступна для самого широкого использования гражданами – физическими лицами. Например, при платежах в интернет-магазинах, в том числе железнодорожных и авиабилетов.

«Усиленный» вариант позволяет после подписания подтвердить целостность и неизменность электронного сообщения. Для банков наиболее актуальнаквалифицированная электронная подпись, которая подтверждается сертификатом, выданным аккредитованным удостоверяющим центром.

Чтобы внятно сформулировать эти решения, давно широко применяемые за рубежом, российским законодателям потребовалось более 8 лет. Похожий пример: переход исключительно на межведомственный электронный документооборот для Правительства России и 10 основных федеральных ведомств был намечен на 15 июля – 15 августа, остальных – на ноябрь. Но федеральный закон об электронном документе до сих пор пребывает в состоянии проекта.

НЕ ЗАКОН, А ДУРШЛАГ

Разработка федерального закона №152-ФЗ «О персональных данных», принятого 27 июля 2006 года, велась в своё время без лишнего шума. Наверное, потому, что большинство полагало: это формальность во исполнение Конвенции Совета Европы «О защите личности в связи с автоматической обработкой персональных данных».

Этот закон критикуют сам по себе, говорят, что по количеству «дыр» он похож на дуршлаг, что в первой же статье авторы путаются в терминологии, подразумевая работу то ли на компьютере, то ли на допотопной печатающей машинке. Статья 8-я ставит вне закона справочники с адресами и домашними номерами, куда данные включались без формального согласия владельцев.

Осуждение уровня нормативно-правового обоснования, необходимого защите персональных данных, звучит и со стороны банковского сообщества. Заместитель начальника ГУБЗИ Банка России А.П. Курило в публичных выступлениях отмечает: нормативные документы рядом технических требований  противоречат организационным основам деятельности кредитно-финансовых организаций. Многие нормы допускают различные толкования и способны заметно осложнить жизнь небольшим банкам и платёжным системам.

Большие вопросы вызывают механизмы практической реализации норм закона. Возможно, поэтому пока только по линии Минсоцздравразвития РФ проведена соответствующая работа: 9 июля 2010 года Государственной думой РФ в первом чтении одобрен законопроект «Об обязательном медицинском страховании в Российской Федерации», в котором прописаны гарантии защиты персональных данных застрахованных граждан.

КОВРОВЫЙ РЭКЕТ

Понятно, что диктуемая ФЗ-152 защита персональных данных требует затрат на криптографическое оборудование, программное обеспечение и обучение специалистов. Как и за чей счёт должны решать проблему защиты персональных данных остальные ведомства, остаётся непонятным. Надо ждать, пока гром грянет?

Непонятен и порядок проверок. Уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор, и с 1 января 2011 года он может приостановить работу компьютерных систем любой организации, пока не устранят выявленные нарушения. Не прописано, на каком основании, и каким именно образом будут проводиться проверки. Потому неясно, не примет ли их бизнес за новую разновидность «чиновничьего рэкета». Потому что сил на «ковровые проверки» ни у какого ведомства не хватит, а выборочные богаты коррупционными возможностями.

Пример – недавний казус в кредитно-финансовой сфере. Роскомнадзор усмотрел нарушение закона «О защите персональных данных» в передаче банками коллекторам персональных данных заёмщиков, если такая возможность заранее не предусматривалась кредитным договором. В дальнейшем банки стали включать подобный пункт, но переходный период чреват бесконечным перечнем подобных коллизий.

В сложившейся ситуации было бы более правильно возлагать ответственность за утечку персональных данных только в случае доказанного ущерба. Нельзя не согласиться с разумным предложением: регулярные проверки на соответствие закону о персональных данных следует ограничить государственными структурами, а негосударственные организации и компании инспектировать исключительно по жалобам заявителей или на основании вступившего в законную силу судебного решения.

НИ СЕБЕ, НИ ЛЮДЯМ

Практически важно выработать механизмы идентификации каналов, через которые совершена утечка персональных данных. Вопрос может решаться и при помощи различных информационных маркеров, и посредством следственных и оперативно-розыскных мероприятий. Чтобы определить виновного в утечке и экспертизой однозначно доказать правонарушение. Остаётся уповать на идущую работу по «модернизации» ФЗ-152, но гарантий, что на этот раз все проблемы останутся позади, дать трудно.

Напоследок – о лицензировании деятельности, связанной с использованием криптографического оборудования в ракурсе, который касается информационной безопасности банков. Банкиры размышляют: нужна ли им такая лицензия, если они не оказывают коммерческие услуги, а защищают данные исключительно в рамках основной деятельности? Однако разделения такой деятельности ? на ту, что «для себя», и ту, что «на продажу» ? не допускает федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности».

Любому юридическому лицу для обеспечения безопасности персональных данных необходима лицензия ФСТЭК России. Что подтверждается официальным письмом ФСТЭК №240/2/2520 от 18 июня 2010 года заместителю министра здравоохранения и социального развития РФ.

Операторам информационных систем для проведения мероприятий по безопасности персональных данных требуется получить лицензию в установленном порядке. В том числе ? кредитно-финансовым организациям. Порядок получения лицензии определяется положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденном постановлением Правительства РФ № 504от 15 августа 2006 года. Вариант более быстрый и менее хлопотный, хотя и требующий дополнительных затрат – аутсорсинг.

ПОЛЬЗА ЕДИНОМЫСЛИЯ

Есть обнадёживающие перспективы: в конце июля Правительство РФ внесло в Государственную думу РФ законопроект № 414451-5, который должен унифицировать и упростить процедуры лицензирования и лицензионного контроля, сократить перечень лицензируемых видов деятельности, ввести бессрочное действие лицензий. Это не единственная законодательная инициатива, которая призвана устранить недостатки и усовершенствовать законы, регулирующие IT-отрасль.

По моему глубокому убеждению, успешно развивать нормативно-правовую базу информационной безопасности банков мешает такая общая проблема информатизации России, как ведомственная разобщенность. Чем ещё объяснить низкую эффективность законотворческой работы? Черепашьи темпы продвижения такого проекта как национальная платёжная система? Впору вводить мораторий на разработку разрозненных концепций и проектов, пока не будут доведены до ума уже начатые.

Ключевыми проектом нового подхода могут стать единый реестр данных государственных структур data.gov.ru, центр обработки данных с единой системой электронной почты и документооборота, а также с обеспечением информационной безопасности, с сертифицированным центром электронной цифровой подписи. Явно не хватает единого проектного центра принятия решений, наделённого организационными и финансовыми полномочиями. Что неизбежно негативно отражается на качестве законотворческой работы и чиновников, и парламентариев.

Такой структурой, «единым центром» мог бы стать, например, межведомственный Совет при Президенте РФ по развитию информационного общества, курируемый профильным вице-премьером. Деятельность «национального координатора» позволила бы избежать в дальнейшей законотворческой работе прежних огрехов развития нормативно-правовой базы информационной безопасности банков.