Комитет Государственной думы по государственному строительству и законодательству одобрил к принятию в первом чтении поправки в закон «О персональных данных». Авторы закона собираются предписать операторам персональных данных информировать уполномоченный орган об утечках информации.
Закон касается работодателей, операторов связи, банков, интернет-магазинов и других организаций, которые обрабатывают персональные данные. Крупнейшие компании Рунета поддержали поправки. От их лица выступила Российская ассоциация электронных коммуникаций (РАЭК). Однако все ли довольны законопроектом? Какие последствия закон окажет на ИБ-рынок? Слово экспертам отрасли.
Антон Карданов: Законопроект требует уточнений
Антон Карданов, руководитель сектора ИБ компании AT Consulting
В текущем законопроекте этот пункт звучит следующим образом: «Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о факте неправомерного раскрытия персональных данных неопределенному кругу лиц». По замыслу планируемых поправок процедура должна выглядеть так: оператор персональных данных (оператор связи, банк, ритейлер, орган государственной власти) собирает и обрабатывает личные данные своих клиентов. Если такая база утекает, оператор направляет в Роскомнадзор уведомление об инциденте. Но жизнеспособность этого законопроекта зависит от множества нюансов. Операторы (подавляющее большинство точно) не заинтересованы в уведомлении Роскомнадзора, а значит, будут стараться максимально формализовать и затруднить процесс принятия решения о свершившемся факте, не говоря уже о создании единого механизма идентификации факта утечки.
В законопроекте, кроме того, не указан способ и, самое главное, сроки информирования, меры по расследованию инцидента информационной безопасности, объем информации, передаваемой в Роскомнадзор — будет ли это сообщение только о факте утечки или дополнительно состав персональных данных. Все это требует уточнения либо в самом законе, либо в каком-то подзаконном нормативно-правовом акте.
Что касается рынка ИБ, то ожидать существенных изменений, на мой взгляд, в связи с данной поправкой, не стоит: комплексные системы защиты от утечек и их эффективная эксплуатация — достаточно дорогостоящее удовольствие, чтобы все операторы поголовно стали их скупать. Основной упор необходимо делать на персонал, обрабатывающий персональные данные. Как правило, по его вине или беспечности происходит хищение конфиденциальной информации. Но не стоит забывать и о недорогих, классических мерах защиты информации, доступных каждому оператору: антивирус, межсетевой экран, защита от несанкционированного доступа. Эти механизмы позволят существенно обезопасить оператора от подобного информационного взаимодействия с Роскомнадзором.
Вадим Ковалев: Закон может стать обременительным для малого и среднего бизнеса
Вадим Ковалев,
юрист
Capital Legal Services
Предлагаемые изменения согласуются с общей тенденцией развития зарубежного законодательства в данной области. В частности, в Европейском Союзе в сфере телекоммуникаций к провайдерам услуг связи предъявляется требование уведомлять клиентов и уполномоченные органы власти о нарушениях безопасности, которые неблагоприятным образом затронут персональные данные таких пользователей. Дополнительно к этому весной 2018 года в ЕС вступают в силу Общие положения о защите данных (GDPR), которые не только напрямую обязывают сообщать об утечках властям и пользователям, но и содержат суровые наказания для компаний, умолчавших о разглашении данных. Обязанность по сообщению об утечках персональных данных также существует почти во всех штатах США.
Российский законопроект также предписывает операторам уведомлять Роскомнадзор о факте утечки персональных данных пользователей неопределенному кругу лиц. В то же время текущий законопроект не обязывает операторов сообщать об утечках самим пользователям, что несомненно является значительным упущением, поскольку пользователь не имеет возможности предпринять должные меры по минимизации последствий разглашения личных данных. К слабой стороне законопроекта также относится отсутствие процедуры и конкретных сроков уведомления Роскомнадзора об утечках. Тем не менее, уже известно, что авторы намерены доработать законопроект и внести в него соответствующие поправки ко второму чтению.
В целом, идею законопроекта можно оценить как положительную и в дальнейшем следить за его доработкой и ходом рассмотрения в Государственной думе.
Данный законопроект в случае его принятия не должен оказать существенного влияния на российский ИБ-рынок. Крупные и технологичные компании уже сейчас тратят значительные средства на обеспечение безопасности данных, включая персональные данные своих клиентов, сотрудников и пользователей. Более того для многих компаний уже понятна ценность защиты данных, так как их утечка или несанкционированный доступ к ним чреваты значительными репутационными рисками.
Для малого же и среднего бизнеса данный законопроект может быть более обременительным, однако, ввиду, как правило, небольшого объема обрабатываемых персональных данных, они вряд ли будут представлять ценность для злоумышленников и по сравнению с крупными организациями подвержены меньшему риску утечек.
В целом, более предметно о последствиях принятия законопроекта можно будет говорить после того, как в него будут внесены все поправки и дополнения, уточнена процедура и сроки уведомления об утечках персональных данных.
Андрей Заикин: Принудительные меры можно считать оправданными
Андрей Заикин, руководитель направления информационной безопасности компании КРОК
Эти поправки — логичный шаг в развитии норм регулирования защиты персональных данных. За рубежом подобная практика существует уже достаточно давно. Мало того, похожая практика есть и в нашей стране, но только в области обязательного информирования Центробанка об инцидентах информационной безопасности в банковской сфере.
Какие последствия этот закон в случае принятия может оказать на российский ИБ-рынок? Довольно часто подобные нововведения вызывают не только положительные эмоции, но цель этого закона – это защита прав субъектов, а значит, принудительные меры по отношению к операторам со стороны государства можно считать оправданными. Введение такой практики по отношению к персональным данным должно помочь в повышении ответственности операторов как перед субъектами персональных данных, так и перед регулятором. И в результате это должно повысить управляемость и контроль в данной сфере.
Сейчас же нам остается дождаться детальных процедур уведомления, которые обычно прописываются в подзаконных нормативных актах. Так что, если правки в закон будут приняты и одобрены, в скором времени будем ожидать распоряжения Роскомнадзора, либо приказа ФСТЭК, который регулирует данную сферу.
Светлана Кузнецова: Законопроект акцентирует внимание на технической стороне защиты информации
Светлана Кузнецова, консультант по информационной безопасности Центра информационной безопасности компании «Инфосистемы Джет»
Одними из самых распространенных типов инцидентов ИБ в мире сегодня являются утечки личной информации и персональных данных. В законодательстве РФ предусмотрена система штрафов за нарушение порядка хранения, использования и распространения персональных данных субъектов. При этом штрафы носят скорее формальный характер и зачастую многие мелкие организации не принимают каких-либо мер по предупреждению нарушений, в том числе утечек, в будущем. В западном и европейском законодательстве акцент смещен в сторону защиты прав субъектов — организации как минимум обязаны уведомить об утечке не только соответствующие органы власти, но и самих субъектов.
Принятие поправок в законопроект, на мой взгляд, акцентирует внимание операторов персональных данных на технической стороне защиты информации и заставит более серьезно подходить к вопросу хранения и своевременного уничтожения персональных данных вместо подготовки пачки документов-отписок. С другой стороны, наличие информации об утечках персональных данных может послужить дополнительным поводом для проведения внеплановых проверок операторов регуляторами. Аналогичные требования существуют и в банковском секторе. Возможно, данный механизм работает не всегда идеально, однако он позволяет ЦБ быстро получать статистику по угрозам ИБ финансовых организаций в России и корректировать свою деятельность, как регулятора.
