Турбизнесу нужно придумать, как защищать персональные данные

11 декабря в Госдуме состоится второе чтение законопроекта о внесении поправок в закон «О персональных данных». Поправки предусматривают перенос срока приведения систем персональных данных в соответствие с требованиями закона с 1 января 2010 года на 1 января 2011. Кроме того, предлагается исключить для операторов таких систем использование шифровальных средств. Как сообщил RATA-news вице-президент Российского союза туриндустрии Юрий Барзыкин, законопроект, подготовленный Комитетом Госдумы РФ по конституционному законодательству и государственному строительству под руководством Владимира Плигина, поддержан на Совете Думы, и это дает все основания полагать, что поправки успешно пройдут второе чтение. Однако, по мнению многих экспертов, эти послабления отнюдь не решают проблем, которые несет закон турбизнесу. Даже с учетом поправок точное соблюдение требований закона для туроператоров практически невозможно, не говоря уже о цене вопроса.

Современные средства массовых коммуникаций легко позволяют использовать персональные данные граждан для различных махинаций. Поэтому в Европе, где эта проблема возникла гораздо раньше, чем в России, вопросы защиты этих данных давно решены. В 2005 году Россия присоединилась к конвенции Совета Европы о защите прав субъектов персональных данных. В результате в 2006 году появился закон «О защите персональных данных», который должен вступить в действие 1 января 2010 года. Следом вышли постановления правительства и инструкции ФСТЭК (Федеральной службы по техническому и экспертному контролю, задача которой – противодействие техническим разведкам). Уполномоченным органом по защите субъектов персональных данных стало Министерство связи и массовых коммуникаций, в структуре которого организована служба по контролю за соблюдением их прав – Роскомнадзор.

В соответствии с требованиями законодательства операторы персональных данных (а ими являются все физические и юридические лица, которые обрабатывают такие данные) должны защищать получаемую информацию. Исключение – обработка данных в семейных целях. В качестве основы для своей инструкции ФСТЭК использовал общие правила и нормы защиты секретной информации, значительно их упростив. Однако многие моменты, например, связанные с трансграничной передачей данных, в законе не проработаны.

Все системы персональных данных разделены на четыре класса, у каждого – свои меры защиты. Системы, содержащие сведения о здоровье, фактах личной жизни, национальности, политических убеждениях, относятся к первому классу и при передаче данных должны шифроваться с помощью криптографа, который обязательно ставится на учет в ФСБ. Все остальные системы, которые, помимо возможности идентифицировать субъекта, предоставляют любую дополнительную информацию о нем - место жительства, телефоны и т.д. - в зависимости от численности относятся к разным классам. Если такая система содержит данные о более чем 100 тыс. субъектах, она также относится к первому классу. От 1000 до 100 тыс. – ко второму классу. Операторам подобных систем необходимо приобретать и использовать средства технической защиты. Системы третьего класса, включающие данные на меньше 1000 человек, требуют самых простых мер защиты. Но если система является распределенной, то есть данные распределены по нескольким компьютерам либо используются в нескольких офисах, эту информацию также нужно будет защищать.

Системы, которые содержат общеизвестную или обезличенную информацию, относятся к четвертому классу и в защите не нуждаются. Закон также предусматривает уничтожение данных после того, как необходимость в их обработке отпала. Таким образом, например, операторы могут предохранить систему от накопления данных о более чем 100 тыс. клиентов одновременно.

Как рассказал RATA-news заместитель генерального директора компании Mediann Solutions Александр Жданов, в соответствии с требованиями ФСТЭК установка системы защиты предусматривает предпроектное обследование, проектирование и внедрение системы, приемо-сдаточные испытания и аттестацию. Теоретически туроператоры могут сами пойти во ФСТЭК и получить лицензию, но для этого нужно послать сотрудников на обучение, а позже держать в штате людей, обслуживающих средства техзащиты. Проще обращаться к компаниям, уже получившим лицензию. В случае неисполнения требований закона может быть применено блокирование системы персональных данных с недостаточной защитой. Это означает, что работа оператора системы будет остановлена.

Говоря о стоимости защиты, г-н Жданов подчеркнул, что она зависит от индивидуальных особенностей информационной системы конкретного оператора. «Если оператор подходит к делу с пониманием, согласен на то, чтобы реорганизовать бизнес-процессы, сделать так, чтобы система содержала только необходимую для работы информацию, была локализована, не имела доступа в интернет, то защитить ее будет проще и дешевле, – рассказал Александр Жданов. - Если система расползлась по филиалам, имеет распределенный доступ, подразумевает передачу информации по интернету, то защита ее обойдется на порядки дороже. Для систем первого класса защита будет стоить 10-20 млн. рублей. Для систем второго класса затраты могут составить 2-5 млн. рублей. Для третьего класса, к которому, видимо, могут быть отнесены информационные системы большинства российских туроператоров, затраты на закупку техсредств вряд ли превысят сотни тысяч рублей. При этом многие работы по защите таких систем вполне могут быть выполнены самими операторами. И агентствами, кстати, тоже».

«То, что уберут такое одиозное требование, как криптографирование – это хорошо, но остальные никуда не денутся, - прокомментировал поправки в закон руководитель юридического агентства «Персона Грата» и глава Правовой комиссии Российского союза туриндустрии Георгий Мохов. - Закон написан терминологически некорректно, его надо переделывать целиком, так как сейчас под понятие оператора персональных данных подпадает даже владелец телефона с встроенной записной книжкой». Тем не менее, по мнению г-на Мохова, вряд ли удастся серьезно изменить закон, так как в его существовании в нынешнем виде заинтересованы силовые структуры. К оператору, у которого стоит не сертифицированная ФСТЭК, но весьма популярная в турбизнесе программа, может прийти сотрудник ФСБ с удостоверением и остановить обработку данных физических лиц.

В Европе у каждой отрасли есть свои стандарты безопасности персональных данных. У нас для всех отраслей предлагается одна методика. Поэтому, по мнению Георгия Мохова, начинать надо с разработки специального стандарта обеспечения информационной безопасности персональных данных для предприятий туротрасли, который должен быть утвержден во ФСТЭК: «В первую очередь, для нас представляет опасность то, что турфирмы будут проверяться по общим требованиям. Ни одна даже самая крупная турфирма не сможет им соответствовать. Поэтому нужно разрабатывать нормы отраслевого характера и согласовывать с проверяющими организациями». Это позволит сократить расходы каждого отдельного оператора на приведение бизнеса в соответствие с законом и избавит от неприятностей при проведении контрольных мероприятий. Георгий Мохов призвал профессиональные объединения, в частности, РСТ консолидировать усилия компаний для минимизации затрат на решение однородных проблем.

Президент РСТ Сергей Шпилько рассказал RATA-news, что вчера состоялось совещание в ОПОРе России, на котором речь шла о том, что сейчас делать и как в принципе решать проблему защиты индивидуальных данных в посильной для бизнеса форме. «В случае сохранения закона в нынешнем виде, независимо от сроков его вступления в силу, предъявляемые требования в полном объеме может выдержать только очень крупный бизнес, – считает г-н Шпилько. - Кстати, не готовы к ним и предприятия бюджетной сферы - от поликлиник до паспортных столов. На совещании выступали представители предпринимательских объединений различных отраслей - страхования, здравоохранения, информационных технологий, туриндустрии - и практически каждый заявлял, что их отрасль выполнить закон в существующем виде не может, прежде всего, технически, не говоря уже о финансах. Конечно, хорошо, если 11 декабря будут приняты поправки, подготовленные Комитетом по конституционному законодательству. Вселяет надежду и пояснительная записка к законопроекту, где говорится о необходимости более серьезной доработки закона и точно расставлены соответствующие акценты».

По словам президента РСТ, главное, чтобы на этот раз бизнес-сообщество не проморгало угрозу такого масштаба и работало над дальнейшими поправками к закону, не откладывая вопрос в долгий ящик. «Турбизнес – технологичная отрасль, - подчеркнул г-н Шпилько. - Если IT-компании, работающие с нашей отраслью, не будут вносить свои предложения по доработке закона применительно к сфере туризма и гостеприимства, то нечего потом будет сетовать, что через год, а то и раньше, мы вернемся к нынешнему состоянию проблемы. Так что ждем предложений от всех заинтересованных сторон. Кстати, первые подобные предложения от гостиничных сетей уже начали поступать». (Юлия Батырь, RATA-news)