Экономика защиты персональных данных
Виктор Басаков
специалист по информационной безопасности
Itsec.Ru
Тема защиты ПДн по степени обсуждаемости, наверное, вышла в ИБ-отрасли на первый план. Причина тут очевидна — практически первые в России общеобязательные требования в области информационной безопасности, да и к тому же требующие финансовых вложений. Неудивительно, что закон и подзаконные акты подверглись резкой критике, общий смысл которых в избыточности и сложности или невозможности реализации многих требований.
Рассуждая о плюсах и минусах национального законодательства, особенно проводя параллели с западным подходом к защите ПДн, остановимся на некоторых важных моментах.
Изменения в нормативных актах
Стоит отдать должное совместным усилиям ассоциаций, союзов, других организаций, а также работе государственных структур, как бы то ни было, но за последние годы в нормативные акты были внесены значительные изменения. В последней редакции закона убраны избыточные, а часто и невыполнимые требования по уведомлению субъектов ПДн при уничтожении их ПДн, по уведомлению при получении ПДн от третьих лиц, расширен перечень нормативных оснований обработки ПДн без согласия субъектов и т.п. Что касается подзаконных нормативных актов ФСТЭК России, то и здесь имеется значительный прогресс, состав требований в текущем 58-м приказе, по сравнению с пресловутым "четверокнижием", более гармоничен (исключена необходимость аттестации, убраны избыточные требования к антивирусным средствам, более логично выстроены требования для разных классов и т.д.).
Сравним с зарубежным опытом
Существенная разница с европейским подходом и подходом, принятым в США, состоит в том, что
Сертификация средств защиты Оставив за скобками причины непризнания международных сертификатов средств защиты в России, следует сказать, что какая-то оценка соответствия в любом случае нужна - как еще гарантировать стойкость средств защиты используемых организациями. Кроме того, если посмотреть на средства защиты иностранных производителей, то видно, что сам производитель регулярно проводит их сертификацию на соответствие "Общим критериям", потому что подтверждение соответствия требуется не только в России. Другой вопрос, почему если там сертификация заложена в стоимость продукта, то в России за сертификацию тех же продуктов приходится платить потребителю отдельно? |
зарубежное законодательство, как правило, не определяет жестких требований к системе защиты ПДн, а содержит набор общих рекомендаций. Необязательность требований компенсируется высокими штрафами, а также в первую очередь традиционно высокими суммами возмещения морального ущерба субъектам при нарушении безопасности их ПДн. Как результат, организации, заботящиеся о своем благополучии, добровольно стараются выполнить все имеющиеся рекомендации в целях повышения своих шансов в случае возможных судебных разбирательств. В то же время, если вспомнить российскую специфику, традиционную пассивность населения, низкие штрафы и суммы возмещения морального ущерба, есть опасения полагать, что применение подобного подхода не привело бы к повышению реальной защищенности ПДн, большинство организаций проигнорировали бы законодательные нормы. Тут же стоит заметить, что уровень рекомендаций, выдвигаемый рядом зарубежных стандартов в области построения систем защиты ПДн (например, в NIST SP 800-122 и связанных стандартах), достаточно высок и по объему организационных требований не идет ни в какое сравнение с требованиями того же 58-го приказа. Соответственно совсем не ясно, действительно ли будут выше издержки на защиту ПДн у отечественных компаний по сравнению с иностранными. Таким образом, наличие обязательных, но сравнительно низких требований, вполне возможно, является меньшим из зол.
Что касается множества организационных и организационно-технических мероприятий по ИБ, заложенных в отечественных нормативных требованиях, то они не выглядят чем-то противоречивым: учет активов, контроль эффективности, разработка моделей угроз, обучение или организация разрешительной системы доступа присутствует практически и в любом западном стандарте. Причем по аналогии с инструментами автоматизации процессов внутреннего контроля, которые были разработаны на Западе для обеспечения соответствия SOX и снижения уровня затрат, в России тоже логично ожидать систем такого класса, созданных для автоматизации процедур выполнения требований к процессам обработки и защиты ПДн.
Вывод
Результаты сравнения отечественных и западных нормативных требований не так однозначны. Есть основания полагать, что в области защиты ПДн нормативная база России как минимум по аналогичным требованиям не хуже западной нормативной базы. Грамотный подход к разработке моделей угроз, выбору средств защиты, автоматизации может значительно сократить нагрузку на бизнес, связанную с необходимостью выполнения данных требований.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2012