Проверяющих хватит на всех!

Именно с 1 января 2010 года казенные контролеры, каковых, по отечественной традиции, мало не будет (это ФСБ, ФСТЭК, Минкомсвязи и не только) готовятся начать проверки на предмет того, надежно ли защищены персональные данные. На 2010 год запланировано 6250 проверок. Первыми в очереди стоят крупные банки, государственные структуры, медицинские учреждения и страховые компании. Всего же в России 7 млн предприятий, которые в своей работе используют персональные данные граждан.

Это – огромный рынок для компаний, специализирующихся на IT-безопасности. Оператор персональных данных может, как вариант, заявить проверяющему: а у меня компьютеры защищены таким-то антивирусом, и никакой троян ничьи персональные данные у нас не похитит, так что оставьте меня в покое. Если антивирус имеет государственную сертификацию, проверяющий, возможно, действительно оставит в покое.

Категорическая классификация

По закону "О персональных данных", вся информация о гражданах РФ делится на четыре категории. К четвертой, низшей категории причисляются списки должностей, результаты статистических опросов, графики работы и любая другая обезличенная информация.

Персональные данные третьей категории позволяют идентифицировать человека: это фамилия, имя, отчество, дата рождения, место рождения и др. Большинство компаний, производящих софт для IT-безопасности, уже имеет сертификаты для работы с такой информацией. Софт этот есть на рынке. По словам технического директора ESET Russia Григория Васильева, приведение в соответствие с законом одного рабочего места сотрудника, работающего с персональными данными третьей категории, обойдется в 70 тыс. рублей.

К персональным данным второй категории относится информация, которая может дать дополнительные сведения о субъекте: паспортные данные, место жительства, адрес рабочей электронной почты и др.

В первую категорию попали данные о состоянии здоровья, религиозной и национальной принадлежности, личной жизни гражданина. Компании, работающие с такой информацией, могут использовать для защиты данных только те программные продукты, которые имеют специальный сертификат ФСТЭК.

Первой о получении сертификата ФСТЭК (Федеральная служба по техническому и экспортному контролю), который дает право использовать продукты компании в компаниях, работающих с персональными данными первой и второй категорий, объявила ESET.

На получение такого сертификата ESET понадобился год, причем часть этого времени заняли переговоры российского офиса ESET со штаб-квартирой (компания – из Словакии). "Очень сложно было убедить головной офис в Братиславе открыть коды, чтобы их смогли проверить в ФСТЭК. Наши словацкие друзья с большим недоверием относятся к российским службам", - говорит IT-директор компании ESET Russia Павел Потасуев.

Для ESET решение о раскрытии кодов было болезненным. Исходный код – это технологии, ноу-хау, главное достояние софтверной компании. Но жажда прибыли перевесила, и ESET впервые за всю историю своего существования открыла коды сторонним лицам, причем лица эти были гражданами другого государства. Но больше идти на такой риск, скорее всего, не придется. По словам заместителя директора департамента развития компании Leta IT Евгения Царева, "нигде в мире не существует таких жестких требований по технической защите персональных данных, как в России".

Проверку исходного кода проводило аккредитованное ФСТЭК на проведение такого рода работ НПО "Эшелон". К делу подошли по-взрослому. Как в бондиане. "Для проверки выделили помещение, в котором все стены были стеклянными, и оно хорошо просматривалось. В этой комнате стоял только компьютер. Проверяющим не разрешали пользоваться мобильными телефонами", - рассказывает г-н Потасуев. Сотрудникам "Эшелона" пришлось уничтожить флэшку с ключом для их программного продукта, который использовался при проверке кодов. "В ESET решили, что мы записали часть исходных кодов на свою флэшку. Чтобы исчерпать этот инцидент, нам пришлось на их глазах уничтожить накопитель", - рассказывает сотрудник "Эшелона" Михаил Никулин.

По мнению главы ESET Russia Андрея Албитова, дело того стоило: "Начиная с 1 января 2010 года компании, работающие с персональными данными первой и второй категорий, смогут использовать только продукты ESET. А к таким компаниям можно отнести практически все, в которых работает больше двух человек. Потому что у них имеются такие сведения о своих сотрудниках, как номер банковского счета, на который перечисляется зарплата, информация о доходах, информация о заболеваниях и другое".

Конкуренты в эту проблему тоже вникли. Генеральный директор "Макафи Рус" Владимир Ларин говорит, что процедура получения сертификата "достаточно длительная", но в будущем году сертификат будет получен.

К чему все это?

Нельзя не задаться вопросом о целесообразности описанной процедуры сертификации программных продуктов для защиты данных – тем более что процедура эта, как было сказано выше, нигде, кроме как в России, не применяется. Как же, интересно, за рубежом защищают персональные данные граждан, не подвергая производителей антивирусов проверке исходных кодов? Да и может ли такая проверка предотвратить утечку (кражу) персональных данных? Вовсе не нужно быть специалистом по IT-безопасности, чтобы предположить: даже лучший в мире антивирусный софт неприкосновенность данных не гарантирует и гарантировать не может. Известно же, что данные воруют не только трояны, но и, например, инсайдеры (правильно ESET сделал, что флэшку у проверяющих отобрал).

Мы обратились за комментарием к Михаилу Якушеву, председателю комитета АП КИТ по законодательству. В бытность директором департамента правового обеспечения Мининформсвязи (2007 год) он курировал разработку закона "О персональных данных".

По словам Михаила Якушева, за рубежом государства обеспокоены не сертификацией антивирусного софта, а обеспечением для гражданина возможности самостоятельно защитить в суде свое право на неприкосновенность частной жизни. Реальная угроза судебного преследования в случае, если компания не сможет защитить чужие персональные данные, оказывается более действенным средством, нежели принудительная сертификация программных продуктов.

В нашей же стране закон игнорирует продавцов баз персональных данных, открыто предлагающих свой товар в центре столицы. ESET с этой проблемой, разумеется, не справится. Несмотря на наличие сертификата ФСТЭК.

Ольга Федина