Защита данных обойдется в 4-6% ВВП
Депутаты хотели облегчить работу компаний и ведомств с персональными данными, а вышло наоборот: теперь защиту данных придется привести в соответствие требованиям ФСБ и ФСТЭК. Это обойдется в 4–6% ВВП страны, предупреждают экспертыИсправленная версия. Первоначальный опубликованный вариант можно посмотреть в архиве "Ведомостей" (смарт-версия)
Принятые в понедельник Госдумой в третьем чтении поправки в закон «О персональных данных» дорого обойдутся российским предпринимателям и даже госведомствам, предупреждают в открытом письме президенту России эксперты по информационной безопасности. «Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 млн операторов персональных данных», — говорится в тексте, под которым подписались независимые эксперты. Один из них — Алексей Лукацкий объясняет, что оператором персональных данных являются не только паспортные столы, банки или операторы сотовой связи, а любая организация, нанявшая сотрудников и получившая их персональные данные.
Всем им, даже частным предпринимателям, возможно, уже через месяц придется использовать для хранения и обработки таких данных только средства защиты информации, прошедшие процедуру оценки соответствия в Федеральной службе безопасности (ФСБ) и Федеральной службе по экспортному контролю (ФСТЭК). Если только принятые поправки не заблокируют Совет Федерации и президент.
Весной 2011 г. именно Дмитрий Медведев, выслушав жалобы представителей бизнеса, выдал поручение ведомствам доработать закон «О персональных данных» к 1 августа. Согласованный со всеми сторонами, кроме ФСБ, законопроект действительно облегчал работу с персональными данными, вспоминает Лукацкий, а потом свои предложения внесла ФСБ — и они изменили поправки до неузнаваемости. Центр общественных связей ФСБ не ответил на запрос «Ведомостей». Депутат Владислав Резник считает, что эксперты всполошились напрасно: он уверен, что поправки не распространяются на детские сады, школы и другие учреждения. Но Лукацкий возражает: в опубликованном на сайте Госдумы тексте законопроекта никаких исключений нет. А требования к средствам защиты информации не зависят от ее важности — будь это сведения о дне рождения гражданина или его номере кредитной карты, удивляется директор департамента аудита «Информзащиты» Максим Эмм.
Использование только одобренных ФСБ и ФСТЭК средств защиты информации в масштабах страны будет стоить 4-6% ВВП, или «несколько десятков процентов доходной части бюджета», подсчитал Лукацкий. Траты будут огромными, соглашаются бизнесмены. Компании МТС из-за поправок в закон «О персональных данных» придется купить новое оборудование за $40 млн и еще платить каждый год $2-5 млн за его обслуживание, подсчитал недавно вице-президент МТС Руслан Ибрагимов. Банки вынуждены будут нести дополнительные затраты, связанные с требованием о необходимости использования операторами средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия (приобретение таких средств защиты у компаний, имеющих соответствующие сертификаты/лицензии).
Это, в свою очередь, отразится на стоимости оказываемых услуг, добавляет главный юрисконсульт Бинбанка Лидия Казакова. «Скорее всего, многие средние и маленькие банки не смогут соблюсти требования и будут платить штрафы, которые хоть не являются высокими, но наносят ущерб репутации», — прогнозирует старший юрист Noerr Вячеслав Хайрюзов. Госведомства тоже проигнорируют новые требования, уверен Лукацкий, ведь никаких расходов на средства защиты информации в госбюджете до 2013 г. включительно нет. А Эмм ожидает, что крупные компании тоже предпочтут нанять юристов: принятые поправки противоречат международным соглашениям, которые Россия обязалась выполнять.
Единые, спущенные сверху средства для защиты абсолютно всей информации — нонсенс, уверена Наталья Касперская, основательница компании Infowatch (специализируется на борьбе с утечками информации). Удивляет ее и то, что компаниям предпишут какие-то решения, ведь у многих крупных компаний уже есть свои собственные системы информационной безопасности, которые придется выкинуть или сильно изменить. А вот злоумышленникам однотипность средств защиты всей информации на руку, рассуждает Касперская, ведь чем больше знаешь о защите, тем больше шансов ее взломать.