Для защиты персданных предлагают создать новое ведомство

Сер­гей Ми­ронов зая­вил, что при Мин­цифры необ­хо­димо соз­дать над­зорную служ­бу Го­син­фор­мнад­зор с учас­тием спец­служб. Пар­тия го­това раз­ра­ботать соот­ветс­твую­щий за­коноп­роект. Иг­ро­ки рын­ка счи­тают, что в ФЗ-152 необ­хо­димо пря­мо впи­сать от­ветс­твен­ность опе­рато­ров пер­со­наль­ных дан­ных за на­руше­ние хра­нения и об­ра­бот­ки и тех­ни­чес­кие ме­ры по за­щите ПДн.

Председатель партии "Справедливая Россия – За правду" Сергей Миронов отметил, что идея находится на самой ранней стадии. "Я бы сказал, что инициатива партии "Справедливая Россия - За правду" - это приглашение правительству и администрации президента к дискуссии. Без консолидации усилий исполнительной власти и депутатов такую идею не реализовать, это концептуальный вопрос", - сказал он.

По его словам, это будет рамочный документ, в котором будут определены требования к сбору, обороту и защите персональных данных (ПДн) в новых условиях, в которых живет Россия после 24 февраля этого года. "На наш взгляд действующие нормы в этой сфере устарели как с технологической, так и с организационной точки зрения, что не отвечает задачам обеспечения национальной безопасности России", - считает политик.

Он отмечает, что их предложение пока носит самый общий характер. "Детали в виде подзаконных актов предстоит выработать экспертам и исполнительным органам, которые будут применять этот закон. Представляется логичным, чтобы новая структура входила в подчинение Министерства цифрового развития, связи и массовых коммуникаций. Но, разумеется, характер задач по защите персональных данных требует и участия специальных служб, что необходимо предусмотреть при определении порядка работы новой структуры", - уточнил Сергей Миронов.

Он отметил, что теоретически есть и другой вариант: не создавать новую структуру, а расширить полномочия действующей - Роскомнадзора, в задачи которого уже входят задачи по контролю за исполнением законодательства в сфере связи, информационных технологий и СМИ. Говоря о функциях новой службы, Сергей Миронов отмечает, что, как и любой надзорный орган она будет следить за соблюдением законодательства, в данном случае в сфере информационной безопасности. "То есть в законе будут определены общие подходы, а в подзаконных актах - все необходимые технические параметры того, кто, как и при каких условиях имеет право собирать и хранить персональные данные граждан России, в том числе данные об их состоянии здоровья. Должны быть четкие технические критерии к безопасному хранению таких данных, без выполнения которых такая деятельность будет запрещена. Вот для того, чтобы следить за соблюдением этих критериев, и нужен Госинформнадзор", - рассказывает парламентарий.

По его словам, точно так же, как и в случаях пожарного, санитарного или технического надзора, должна быть предусмотрена административная, а возможно и уголовная ответственность за нарушение правил. "Так мы сможем покончить с той анархией, которая творится в сфере оборота персональных данных и свести к минимуму их утечки к преступникам и спецслужбам враждебных государств", - считает Сергей Миронов. Говоря о снабжении новой структуры кадрами, он отметил, что в России большое число талантливых специалистов в сфере информационных технологий, причем государство сейчас предоставляет им и компаниям в этой сфере дополнительные льготы, что даст дополнительный импульс для развития отрасли. Он уверен, что дефицита кадров точно не будет.

По словам политика, сегодня персональные данные собирают все кому не лень – от продуктовых магазинов до министерств, а утечки этих данных стали обыденностью, но случаи привлечения к уголовной ответственности единичны, хотя фактов преднамеренной продажи информации в избытке. Он считает, что в случае с данными медицинских организаций речь может идти и об утечках врачебной тайны, а в более широком смысле – о состоянии здоровья всего российского общества. "Данные Минобороны РФ и спецслужб убедительно показывают, что в соседней с нами Украине лаборатории по заказу США целенаправленно вели работы по созданию биологического оружия избирательного действия, направленного против отдельных национальностей и рас. Не сложно догадаться, против каких именно. Для этого у представителей братского нам народа собирали многочисленные анализы, которые потом отправляли за рубеж", – уверен Сергей Миронов. Он говорит, что в связи с этими рисками в России необходимо качественно усилить защиту персональных данных и медицинской информации не только в государственных, но и в частных учреждениях. "Наша фракция готова разработать и внести соответствующие поправки в законодательство, которые гарантируют обеспечение национальных интересов в этой важной сфере", - заключил он.

В пресс-службе Минцифры сообщили о том, что вопрос о расширении существующих полномочий заслуживает внимания и будет детально проработан.

По мнению Валентина Макарова, президента НП "Руссофт", ситуацию с защитой ПДн необходимо рассматривать в контексте решения комплексной проблемы информационной безопасности. "В целом, эта проблема уже давно привлекала внимание ИТ-компаний, профессионально занятых в области ИБ. Еще лет пять назад Лев Матвеев, лидер компании "СерчИнформ" предлагал создать государственный орган, ответственный весь комплекс вопросов ИБ. Дело в том, что с развитием ИТ (особенно, с развитием квантовых вычислений), уровень ИБ во всем мире оказывается под угрозой. Квантовый компьютер близкого будущего будет способен расшифровать любой код. Мало того, для перехода к технологиям шестого технологического уклада с его киберфизическими системами необходимо обеспечить качественно новый уровень обеспечения ИБ, который и должен позволить регуляторам разрешить применение киберфизики - независимо от сферы применения ИТ (будь то защита ПД, финтех, беспилотный транспорт, распределенное производство, телемедицина или умная энергетика). Для этого будет полезно иметь единый орган государства, способный обеспечить скоординированную работу по всем направлениям применения ИБ в Новом укладе", - считает эксперт.

Основатель KIP LegalTech, член Комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций Павел Катков считает, что Роскомнадзор вполне способен эффективно работать по этому направлению. "Новый ФОИВ – это новые расходы госбюджета. Это может быть оправдано только в случае необходимости наличия у такого ведомства экспертных, а также силовых полномочий, потому что вряд ли их добавят РКН. По такому основанию новая служба может быть создана. И я не уверен, что парламентарию это удастся", - отмечает юрист. По его словам, вместе с тем, есть ФСБ и ФСТЭК, и надо будет обосновывать, почему это не они с Роскомнадзором, а новая структура.

Андрей Яковлев, руководитель ГК "Брэйн Системс" отмечает, что ФСТЭК России, ответственный за регулирование мер по обеспечению информационной безопасности уже входит в структуру Министерства обороны Российской Федерации и осуществляет свою деятельность с учетом в том числе и внешнеполитических рисков. "Проблема игнорирования требований регулятора действительно существует, но она является следствием исключительно отсутствия методического обеспечения. Распорядителями средств являются главные врачи, которые не обладают и не могут обладать компетенциями и знаниями в области информационной безопасности. В таких условиях усиление контроля приведет к появлению множества неэффективных реализаций и рассеиванию бюджетных средств", - уверен Андрей Яковлев.

Генеральный директор iPavlov, исполнительный директор НИЦ АО "Швабе" в МФТИ, Директор по разработке прикладного программного обеспечения Центра компетенций НТИ по направлению "Искусственный интеллект", кандидат физико-математических наук Лоран Акопян говорит, что вопрос защиты ПДн не простой в силу чрезвычайного обилия и разнообразия данных, генерируемых обществом. Данные являются минимально необходимым строительным материалом для создания самых современных ИИ-систем, в которых остро нуждается практически любой потребитель сегодня - пациенты в умной клинике, городской житель в цифровом городе, бизнес-потребитель, промышленность и само государство. По его словам, с другой стороны, ровно те же системы с ИИ могут быть использованы против этих самих потребителей, здесь и возникает трудность регуляции безопасного хранения и распространения данных. "Важно, с одной стороны защищать ПДн от незаконного и потенциально вредоносного использования, а с другой не ограничивать прогресс ИИ/ИВ, без которых облако данных делает жизнь человека сегодня просто неуправляемой. Для меня здесь главное не то, какие структуры будут заниматься этой проблематикой, а насколько сбалансированной будет конечная команда специалистов, которая будет отвечать за финальную политику и регуляцию данных. Заметьте, одна из трудностей в этой области, глобальная природа данных. Мы не можем создавать эти политики изолированно, в силу наличия интернета, эти политики должны быть хорошо согласованы между странами. Примером такой согласованности служит кооперация стран по борьбе против Ковид-19", - отметил он.

Заместитель генерального директора по взаимодействию с федеральными и региональными органами власти компании Cross Technologies Сергей Кобзев считает, что текущая ситуация с ПДн действительно заставляет задуматься о необходимости ее перемещения в топ повестки, но ужесточение наказания вряд ли будет мотивацией для большинства компаний. "Я бы подошел с другой стороны – нужны дополнительные меры поддержки как для разработчиков, так и для заказчиков, направленные на реализацию комплексных отечественных решений, позволяющих предотвратить кибератаки и, соответственно, утечки персональных данных. В данном случае гранты на разработку и внедрение механизмов информационной безопасности в компаниях с последующим контролем грантодателя – хороший пример. Также государству возможно рассмотреть создание механизма кэш-бэка или дополнительных льгот компаниям за внедрение инструментов информбезопасности", -считает эксперт.

Председатель совета директоров компании "СёрчИнформ" Лев Матвеев уверен, что защиту ПДн в России необходимо усилить, работа по защите данных ведется, но массовый перевод информации в цифру, приводит к тому, что новости про сливы сканов паспортов, медицинских, платежных данных – все ещё регулярно появляются в СМИ. На это есть целый комплекс причин: частные и государственные организации недостаточно оснащены защитными системами, не хватает ИБ-специалистов, маленькие штрафы за нарушение закона о защите ПДн. "Мы сейчас выступаем с инициативой вписать ответственность операторов ПДн за нарушение хранения и обработки прямо в ФЗ-152. Туда же нужно вписать технические меры по защите ПДн. Сейчас они прописаны в отдельных приказах ФСТЭК. Разобраться в этой документации сможет не любой оператор ПДн", - рассказал он.

По его словам, недооценивается задача защиты внутренних угроз, основной упор сегодня делается на защиту от хакеров. "Приведу простой пример последствий этой недоработки: большинство утечек медицинских данных в период пандемии происходило из-за халатности или намеренных действий сотрудников", - уточнил Лев Матвеев. Он считает, что нужно принципиально новое решение вопроса, создание отдельной структуры, состоящей из ИБ-специалистов высокого класса, которая бы в "одно окно" занималась вопросами ПДн.

"Хорошо, что проблема обсуждается не только экспертами отрасли, но и на государственном уровне. Неважно, как будет называться структура, главное, чтобы у нее хватало ресурсов, чтобы обеспечивать контроль и защиту данных граждан", - считает эксперт. По его мнению, больной вопрос в этой связи – кадровый. "Дефицит кадров в сфере очень большой, даже крупные компании не могут укомплектовать отделы информационной безопасности. В государственных организациях ситуация еще сложнее, выход здесь один - предоставить специалистам такие условия труда, чтобы они захотели работать в этой структуре. Что касается работы в компаниях-операторах ПДн, то здесь поможет аутсорсинг ИБ. Схожий механизм уже предложен в майском указе Президента о дополнительных мерах обеспечения информационной безопасности. Мы сами с рядом регионов прорабатываем тему реализации специализированных Центров мониторинга информационной безопасности, которые позволяют закрыть вопрос защиты данных в государственных организациях в условиях дефицита кадров", - отметил Лев Матвеев.

Он считает, что в том или ином виде такая структура появится в течение ближайших лет. "Информационная безопасность граждан, государственных и бизнес-структур - это сегодня вопрос государственной важности", - уточнил эксперт. Он считает, что эта структура должна иметь право запретить обрабатывать и собирать пересданные граждан организациям, у которых нет системы защиты этих данных и нет специалиста, который будет заниматься их защитой. Это сразу поднимет уровень информационной безопасности в стране.

Ири­на При­бор­ки­на

Опубликовал: Александр Абрамов (info@ict-online.ru)

Рубрики: Регулирование, Безопасность

Ключевые слова: регулирование, защита персональных данных