Со 2 по 5 апреля в подмосковном пансионате “Липки” прошла очередная, одиннадцатая Международная конференции «РусКрипто’2009», посвященная современной криптологии, технологиям электронной цифровой подписи, системам и средствам информационной безопасности.
Конференция «Рускрипто» проводится каждый год под эгидой ассоциации «Рускрипто» (ранее – Российская Криптологическая Ассоциация), основанной в 2002 году. По замыслу своих создателей, ассоциация должна способствовать, с одной стороны, развитию в России гражданского общества, а с другой – формированию объективных предпосылок для интеграции России в единое киберпространство с соблюдением как государственных интересов, так и интересов отдельных граждан. Для достижения этой цели ассоциация активно занимается созданием сообщества профессионалов, включающего в себя разработчиков и потребителей информационных технологий, юристов и экономистов, бизнесменов и политиков, - всех тех, кто участвует в процессе развития гражданской криптологии.
Ежегодно проводимая ассоциацией конференция «Рускрипто» представляет собой площадку для общения специалистов в области криптографии и защиты информации. В ней участвуют разработчики и их потенциальные клиенты, ученые и чиновники, специалисты из коммерческих и государственных структур.
В рамках программы конференции 3 апреля состоялось заседание секции «Защита персональных данных. Вопросы и ответы».
Тема защиты информации становится сейчас как никогда актуальной. Федеральный закон №152-ФЗ от 27 июля 2006 года «О персональных данных» уже действует, но для всех операторов, которые занимаются сбором, обработкой и хранением информации, относящейся к категории персональных данных, предусмотрена отсрочка в приведении в соответствие с законом своих информационных систем до 1 января 2010 года. Между тем, в законе прописаны достаточно жесткие санкции за несоблюдение требований по работе с персональными данными, включая лишение лицензии - для организаций, и административную, уголовную и иную ответственность - для должностных лиц, допустивших нарушение закона. Учитывая, насколько часто в лентах новостей появляются сообщения об «утечках» информации, с началом нового года стоит ожидать всплеска проверок недобросовестных операторов персональных данных уполномоченным органом - Роскомнадзором. Посему технологии обработки персональных данных вызывают у представителей бизнеса и государственных структур, оперирующих подобной информацией о гражданах, немалый интерес.
Несмотря на то, что на ИТ-рынке уже появился опыт внедрения систем информационной безопасности, учитывающих требования закона о персональных данных, в его прочтении имеется достаточно спорных моментов, которые невозможно решить только техническими средствами. Эти вопросы требуют детальной юридической проработки. Например, относятся ли к категории персональных данных номер личного автомобиля и индивидуальный номер налогоплательщика, - ведь эти сведения могут идентифицировать гражданина только при наличии доступа к соответствующим закрытым базам данных ГИБДД и ФНС? В какой степени обезличенные данные, по классификации информационных систем обрабатываемые в ИС 4-го класса, вообще могут быть отнесены к категории персональных, если они по определению не могут идентифицировать своего владельца? Как быть тем организациям, которым по электронной почте приходят резюме соискателей с персональными данными? Ведь в этом случае фактически осуществляется их автоматическая обработка, а организации выступают в качестве операторов персональных данных, что накладывает на них немалые требования и ограничения со стороны закона? По тому же закону даже удаление такого письма с почтового сервера юридически будет рассматриваться как обработка данных. Вопросов действительно много.
Секция объединила специалистов разного уровня и разной компетенции. Среди участников были как компании, разрабатывающие корпоративные решения по технической защите информации, так и те, что детально прорабатывают юридические последствия модификации информационных систем.
К сожалению, практика показывает, что многие участники рынка пренебрегают юридической стороной вопроса защиты персональных данных и сводят ее решение к техническому обеспечению защиты информации. Ситуация усугубляется еще и тем, что в желании обеспечить «комплексность» подхода многие сугубо технические специалисты выходят за границы своей компетенции и берут на себя ответственность по юридической оценке проводимых изменений в информационных системах клиентов. Чем это может обернуться для клиентов таких недобросовестных подрядчиков, предсказать нетрудно. Незнание закона, как говорится в известной истине, не освобождает от ответственности. Только плата за незнание может оказаться непомерно высокой.
Представляется, что оптимальным на сегодня вариантом развития рынка защиты информации является объединение усилий специалистов по технической защите информации и юристов, сопровождающих и инициирующих этот процесс. Рынок нуждается в универсальном решении, в полной мере охватывающем технический и правовой аспект защиты персональных данных, однако обеспечить комплексный подход могут только крупные организации, обладающими достаточными ресурсами для его реализации. Скорее всего, рынок пойдет в другом направлении – будет расширяться практика сотрудничества между юридическими и ИТ-компаниями.