В день, когда случились последние нашумевшие скандалы, президент Медведев подписал, а «Российская газета» опубликовала новую редакцию
закона «О персональных данных». Закон, как отмечалось ранее,
дает ФСБ и ФСТЭК весьма широкие возможности заработка и контроля личной информации граждан. Фактически, новый закон лишает значительное число коммерческих организаций (сотовых операторов, интернет-провайдеров, интернет-магазинов, банков, страховых компаний, медицинских учреждений, гостиниц и проч.), права выбирать самим меры по защите информационных систем.
Эти правовые нормы были приняты еще в 2006 году, но тогда была введена отсрочка статьи о защите информации до 1 января 2010 года. Впоследствии Госдума продлевала этот срок дважды, в последний раз до июля 2011 года. Этим летом, ко второму чтению, депутаты Госдумы одобрили поправку главы комитета по конституционному законодательству и государственному строительству Владимира Плигина, предложившего такую редакцию статьи о мерах по защите информации, которая дает максимально широкие полномочия и возможности ФСБ и ФСТЭК. Эта поправка была утверждена Госдумой и президентом и сегодня обнародована в правительственной газете.
Теперь правительство будет классифицировать уровни защиты информации, а
требования к защите установят ФСБ и ФСТЭК. То есть, компании будут обязаны устанавливать подсистемы разграничения доступа, криптографической защиты информации, антивирусной защиты, обнаружения вторжений, анализа защищенности, аудита событий безопасности и межсетевого экранирования, которые получили одобрение в виде сертификата от ФСБ и ФСТЭК. Эти ведомства будут еще и контролировать исполнение всех мер сотнями тысяч компаний.
Кроме того, всем операторам необходимо пройти сертификацию уже имеющихся средств защиты информации и изменить архитектуру корпоративной информационной системы для реализации функций защиты.
В результате расходы на установку системы обработки персональных данных для разных компаний могут составлять от 10 до 200% годового оборота плюс операционные затраты на техническую поддержку системы защиты составят 10-15% от стоимости самих систем, сообщает SecurityLab.ru.
Источник в крупной телекоммуникационной компании объясняет произошедшее
лоббистскими усилиями ФСБ и ФСТЭК, поскольку аккредитованные при них структуры будут получать доход от сертификации систем обработки персональных данных. После вступления закона в силу, всем компаниям, обрабатывающим данные о физических лицах, придется смоделировать угрозы для соответствующих систем и внедрить комплекс технических мер защиты.
Экспертное сообщество ИБ-специалистов в начале лета выражало свое недовольство принятым вариантом поправок в открытом письме президенту Дмитрию Медведеву. «Российским операторам персональных данных законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных», – говорилось в письме.
Участники телекоммуникационного рынка также отметили, что законопроект не проходил антикоррупционную экспертизу.
Как оказалось,
пройти целиком все формальности, включая оценку коррупционных возможностей новых норм,
закону помешала экстренная ситуация с так вовремя случившимися утечками данных. В результате можно будет наблюдать уже привычные в других отраслях процессы: как контролеры от ФСБ и ФСТЭК, опираясь на ими же разработанные критерии, выбирают производителей программного обеспечения, которым предназначено стать, фактически, монополистами на российском рынке.
Тут, как говорится, озолотятся все – кроме потребителей, на которых операторы переложат новые расходы.