Перезащищались

Закон "О персональных данных" (ЗоПД), что называется, "сделал рынок" информационной безопасности (ИБ) в России в 2009-м. По данным всех аналитических агентств, этот сегмент "просел" в кризис меньше всего и даже слегка вырастет в 2009 году, во многом благодаря чиновничьей инициативе.

Участники рынка оценивают рост сегмента ИБ в нынешнем году в 10 - 30%. Согласно отчету IDC Russia Security Software 2009 - 2013 Forecast and 2008 Vendor Shares, в 2008-м объем российского рынка систем информационной безопасности (ИБ) составил $211 млн, что на 46,7% больше, чем в 2007-м. Аналитики IDC считают, что до 2013-го сегмент будет ежегодно расти в среднем на 16%. В кризис темпы роста замедлились, но остались на 21% выше, чем темпы роста рынка ПО в целом. Главным трендом все без исключения компании называют участившиеся заказы для обеспечения требований закона "О персональных данных" (ФЗ № 152). Аналитик IDC Петр Городецкий говорит: "Защита информации требуется как от внешних, так и от внутренних угроз. Здесь нужны и антивирусные решения, и сетевые экраны, и системы идентификации и управления доступом, а также средства предотвращения утечек информации". То есть закон, по сути, затронул весь рынок ИБ.
   Некоторые консалтинговые фирмы выделили соответствующие услуги в отдельное направление. И, без сомнения, самые востребованные специалисты года - эксперты в этой области. Таковых оказалось совсем немного, потому что разобраться в этом законе дано не каждому даже при помощи ста грамм.
   По нехитрым подсчетам, операторов персональных данных (ПД) у нас в стране 3 - 4 млн. Это все компании, независимо от размера, в которых есть как минимум бухгалтерия. Ведь бухучет подразумевает оперирование информацией о личных доходах сотрудников. А значит, это уже персональные данные, которые необходимо специальным образом охранять от потери, кражи, разглашения и т. д. Для того чтобы обеспечить требуемый по закону уровень защиты, придется купить специальные средства - программные и/или аппаратные. Но какие именно, в документе, конечно, не написано. ПО и "железо", которые можно использовать, должны быть сертифицированы ФСТЭК (Федеральной службой по техническому и экспортному контролю). Все производители средств ИБ уже озаботились их сертификацией. Но проблема в том, что просто купить программку или "железку" из списка ФСТЭК мало. При проверке Роскомнадзора или ФСБ, как плановой, так и внеплановой, может обнаружиться, что уровень защиты недостаточный или средство применено не так, как надо. Чтобы этого не произошло, следует обращаться к специалистам.
   Понятно, что такие сложности испугали многих, поэтому фирмы решили подождать с соблюдением этих непонятных требований. Евгений Акимов, заместитель начальника ЦИБ компании "Инфосистемы Джет", рассказывает: "Несмотря на то что сам закон принят почти четыре года назад, а подзаконные акты (регламентируют конкретные действия по приведению в соответствие) вышли около полутора лет назад, абсолютное большинство организаций стали "плотно" заниматься этим вопросом буквально в последние месяцы уходящего года. Конечно, лишь немногие успели полностью выполнить все нормативные требования. На мой взгляд, даже среди крупных операторов ПД (банки, страховщики, телекомы и т. п.) это в лучшем случае единицы, а в целом среди всех подпадающих под требования закона - доли процента".
   Ведь мало кто знает, что, например, публикация на корпоративном сайте биографий руководителей коммерческой структуры также нарушает ЗоПД. По правилам, у компании должно быть письменное подтверждение того, что сотрудник не возражает против такого рода использования информации о его личности. Но такие нарушения - это мелочи по сравнению с тем, что делают наши коммерческие организации с данными своих клиентов. В ноябре разразился скандал. Ярославский филиал банка "ВТБ-24" собрал все анкеты потенциальных заемщиков, которым отказали в предоставлении кредитов, и вывез их на свалку. Но документы не были уничтожены, как это требуется. Коробки с бумагами просто выбросили. В итоге местные журналисты обнаружили восемь анкет, о чем оповестили банк. Троих виновных уволили. Но, по сути, виноваты были не они, а служба, обязанная контролировать выполнение требований закона "О персональных данных", которой, по-видимому, в банке просто нет.
   Что там говорить про коммерческий сектор, если государственные предприятия сами нарушают требования по защите персональных данных. Недавно волгоградские власти похвастались, что обеспечат конфиденциальность для граждан, запечатав квитанции об оплате за услуги ЖКХ в конверты. Во всех остальных регионах любой почтальон может посмотреть, насколько добросовестно платит по счетам тот или иной человек, а потом опубликовать эту информацию в районной газете или у себя в блоге.
   

ВСТУПИЛ ИЛИ НЕ ВСТУПИЛ

   В ноябре председатель комитета Госдумы по финансовому рынку Владислав Резник и член этого комитета Константин Шипунов выступили в парламенте с предложением перенести дату вступления в силу ЗоПД, и в нижнюю палату был внесен соответствующий законопроект.
   Затем поправка была принята в первом чтении. Таким образом, закон начинает действовать для всех компаний не с 1 января 2010-го, а годом позже. Но интересно ведь то, что эта поправка не касается организаций, которые установили свои информационные системы после 27 января 2007 года. Они обязаны соблюсти требования с самого начала эксплуатации новой системы. А до 1 января 2008-го все компании, которые в каком-либо виде используют в своей деятельности ПД, должны были отправить в Роскомнадзор уведомление об этом. Конечно, штрафы за эти нарушения очень невелики и наибольшее волнение вызывает дата вступления в силу требований закона для всех компаний. Петр Городецкий говорит: "Если брать текущую редакцию закона, то в большинстве своем компании не готовы выполнять его требования, иначе бы бизнес, особенно банковские и телекоммуникационные структуры, не просил переноса сроков вступления этого закона в силу на более позднее время". То есть сама по себе отсрочка проблемы не решает - документ нужно переделывать. "Прежде всего, хотелось бы выделить объективные проблемы, с которыми столкнулись организации, а именно непроработанность требований: многие из них трудновыполнимы и незначительно увеличивают безопасность ПД, а при этом очень важные, но просто реализуемые моменты упущены (например, контроль каналов утечки), - объясняет Евгений Акимов. - Туда же относятся требования, допускающие разные трактовки. Документы уже корректировались, и, скорее всего, этот процесс будет продолжаться". По мнению эксперта, перенос сроков на год позволит вернуть процедуру подготовки в нормальное русло и избежать профанации при проверках, что полностью дискредитировало бы саму идею - защитить права граждан, обеспечить их реальную безопасность.IT-фирмы лучше, чем их клиенты, подготовились к вступлению этого закона в силу и готовы помочь своим потребителям. Центр информационной безопасности компании "Инфосистемы Джет" реализует полностью законченное решение, включающее IT-консалтинг, юридические услуги, создание/доработку необходимых технических подсистем, консалтинг в получении лицензий регуляторов и аттестацию ИСПДн (информационная система персональных данных). По словам Акимова, в "Инфосистемы Джет" уже обратилось около 200 компаний из разных секторов экономики. "Поскольку наше решение ориентировано на Enterprise-уровень, оно было выбрано как оптимальное многими банками, страховыми и телекоммуникационными компаниями, промышленными холдингами. Мы стали партнерами для более чем 40 крупнейших операторов персональных данных, - объясняет Акимов. - Около трети из них идут по полному пути - вплоть до аттестации, остальные, понимая, что к началу 2010 года все равно не успевают, пока ограничились консалтингом". Очевидно, последний тип клиентов вскоре вернется за остальными услугами. Средняя величина затрат на выполнение положений документа, по словам Акимова, это сотни тысяч долларов для средних компаний и несколько миллионов долларов - для крупных. "Малые организации, скорее всего, смогут подстроить свои бизнес-процессы под требования закона практически без прямых затрат и дополнительных технических средств", - полагает эксперт.
   Производитель программных продуктов антивирусной защиты "ВирусБлокАда" рассчитывает поднять продажи своих решений и уже ощущает их востребованность и рост спроса на рынке, который связан именно с вступлением в силу ЗоПД. По словам генерального директора "ВирусБлокАды" Александра Багмета, вся линейка их продуктов прошла сертификацию и полностью удовлетворяет ЗоПД. "Настоящий сертификат № 1671 выдан 26 августа 2008 года и удостоверяет, что программный комплекс антивирусной защиты VBA32 версии 3.12 соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) по 4-му уровню контроля и требованиям технических условий, - поясняет он. - Этот сертификат - свидетельство о соответствии комплекса антивирусных программ VBA32 нормативным требованиям по защите конфиденциальной информации и возможности его широкого применения в тех организациях и предприятиях, где требуется использование только сертифицированных средств защиты, вплоть до гостайны".
   Компания "ВирусБлокАда" обладает лицензиями, чтобы предлагать дополнительные услуги своим клиентам, например аудит соответствия их IT-инфраструктуры требованиям этого закона и т. д., но придерживается принципа "кесарю - кесарево". "Мы предпочитаем хорошо работать на своем участке - антивирусной защите", - замечает Александр Багмет.А вот Infowatch предоставляет и дополнительные услуги. Игорь Царев, PR-директор этой компании, говорит: "Мы проводим постоянное обучение сотрудников наших партнеров. Конечным пользователям удобнее получать консалтинговые услуги в этой области именно от компаний-интеграторов, поскольку для исполнения требований ЗоПД обычно используются продукты нескольких производителей. Именно поэтому после обучения у нас дальнейшие консалтинговые функции партнеры осуществляют самостоятельно". Все продукты линейки InfoWatch Traffic Monitor также сертифицированы и могут использоваться для защиты ПД, но, по словам Царева, это не основное их предназначение. "В более широком смысле наши системы помогают минимизировать риски утечек, уничтожения данных, саботажа, промышленного шпионажа и других неосторожных и неправомерных действий сотрудников в отношении корпоративной конфиденциальной информации", - отмечает Игорь Царев.
   Бизнес-продукты "Лаборатории Касперского" также прошли необходимую сертификацию. "Кроме того, у нас есть разъяснение из Федеральной службы по техническому и экспортному контролю, что наши программные решения, прошедшие сертификацию на соответствие руководящему документу Гостехкомиссии РФ ("Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей"), могут использоваться для защиты ИСПДн любого класса", - говорит Дмитрий Малинкин, менеджер по работе с органами государственной власти и госучреждениями "Лаборатории Касперского". В компании тоже рассчитывают на рост продаж своих продуктов, так как их стоимость не отличается от той цены, которую запрашивают на несертифицированные решения. "Сегодня многие стали больше обращать внимания на необходимость правильного и грамотного подхода к построению антивирусной защиты. С этой точки зрения, я прогнозирую возможное увеличение спроса на услуги наших партнеров, системных интеграторов, которые внедряют системы централизованного управления и построение систем антивирусной защиты", - комментирует Малинкин.
   Все участники рынка надеются, что чиновники правильно распорядятся тем годом, который у них появился, чтобы поправить недостатки ЗоПД. Игорь Царев, PR-директор InfoWatch, резюмирует: "Хочется верить, что требования регуляторов в сфере действия этого закона будут согласованы между собой, а бизнес-структурам - операторам персональных данных - удастся за это время провести весь комплекс мероприятий по обеспечению безопасности конфиденциальных данных вообще и ПД в частности".