За персональной решеткой

13 июня 2014, 13:31
За персональной решеткой
Персональные данные и их защита не дают покоя ФСБ. В ведомстве разработали специальный приказ, который разъясняет, что надо делать различным компаниям для защиты персональных данных их клиентов. Требования ясны и понятны: окна в решетках, двери на замках, жесткий диск — в сейфе

Персональные данные и их защита не дают покоя ФСБ. В ведомстве разработали специальный приказ, который разъясняет, что надо делать различным компаниям для защиты персональных данных их клиентов. Требования ясны и понятны: окна в решетках, двери на замках, жесткий диск — в сейфе. Ах да, еще нужно данные шифровать исключительно с помощью программ, сертифицированных ФСБ, а это, на минуточку, программы исключительно отечественные, то есть такие, которые не поддерживаются ни Android, ни iOS.

Вообще, честно говоря, танцы вокруг персональных данных весьма поднадоели. Закон № 152 (это на всякий случай, чтоб вы знали, каким актом защищается наше личное и неприкосновенное) связал руки журналистам и блогерам, но при этом развязал их правоохранителям. Напомню, что к персональным данным относится абсолютно любая информация: имя и фамилия, год и место рождения, адрес, национальность, даже принадлежность к конкретной политической партии, религиозные и философские убеждения и, конечно, фотографии. То есть журналист никак не может обсуждать в СМИ, скажем, религиозную принадлежность губернатора, которого случайно встретил на собрании партии любителей пива, а потом заодно и в узком кружке буддистов.

Это все самые что ни на есть персональные данные. А их надо защищать. И закон о ПДн возложил обязанность по разработке требований к криптозащите именно на ФСБ. Итак, что же предлагает эта служба. Во-первых, шифровать персональные данные необходимо с помощью программ, которые сертифицированы ФСБ. А такой чести, по данным некоторых информационных сайтов, удостоились только продукты, реализующие отечественные криптоалгоритмы. Но их, в свою очередь, не поддерживают устройства на Android и iOS. Ну а еще все эти отечественные программы, разумеется, платные.

Во-вторых, серверы с данными нужно на ночь опечатывать в зданиях с металлическими решетками на окнах и дверях. Охранная сигнализация тоже необходима. Если данные еще и не зашифрованы, то тогда в нерабочее время жесткий диск придется прятать в сейф. То есть хранить персональные данные нужно как зеницу ока. Есть, правда, одна оговорочка: использование средств шифрования зависит от уровня угрозы, которая нависла над персональными данными. А такой уровень каждая организация определяет самостоятельно. То есть получается, что компании достаточно заявить, что у них все тип-топ, и ПДн ничего не угрожает? Вот, например, портал РБК побеседовал на эту тему с экспертами. Один из них признался, что крупные госпроекты уже сейчас приуменьшают уровень угроз и просто предупреждают пользователей о пересылке данных в незашифрованном виде. В результате необходимость использовать сертифицированные ФСБ средства шифрования попросту отпадает. Эксперт говорит, что именно так сейчас работает сайт Gosuslugi.ru и сервис продажи билетов на поезд на сайте РЖД.

А теперь немного бытовухи. С персональными данными сейчас работают абсолютно все компании. Даже в самом обычном магазине одежды или парфюмерии, оформляя вам дисконтную карту, вас обязательно попросят подписать разрешение на обработку и хранение ПДн. Ваши данные есть на серверах социальных сетей и интернет-магазинов, в которых вы когда-то что-то покупали. Ваши данные хранятся в поликлиниках и больницах, где вы проходили обследование хотя бы раз. Ваши данные есть в банке, где у вас открыт вклад или не выплачен кредит. А уж количество государственных структур, распоряжающихся вашими ПДн, вообще не поддается исчислению. И, если я правильно понимаю суть приказа ФСБ, каждая из этих организаций через некоторое время будет вынуждена поставить на окна решетки, а на ночь вынимать жесткий диск из системного блока компьютера и прятать его в сейф. Или же покупать недешевые программы шифрования. Как компании будут выполнять все эти условия, никого, естественно, не волнует.

Как не волнует и то, что в государственных организациях до сих пор нет установленного и одобренного образца бланка-разрешения на обработку персональных данных. Например, в саратовских поликлиниках такое заявление вызывает много вопросов. Начнем с того, что это заявление соответствует требованиям закона лишь частично. Так, в документе не указано, кто именно будет обрабатывать персональные данные и каким способом. Но самое главное, в заявлении нет ни одного упоминания закона, в соответствии с которым осуществляется обработка ПДн. Бумага пишется на имя главного врача медицинского учреждения, и создается впечатление, что персональные данные требуются конкретно этому врачу. Да и срок использования ПДн установлен весьма условно — 10 лет. Почему 10? Почему не 5? Или 15?

Работа с персональными данными — это целый сад подводных камней. В том числе и для самого государства, которое порой рубит с плеча, принимает законы и совершенно не задумывается о том, к чему они приведут. Закон о персональных данных ничуть не упрощает существование российских граждан, не дает им лишних гарантий защищенности, а лишь окружает очередным забором из "нельзя" и "запрещается". И принимаемые подзаконные акты — лишнее тому подтверждение.