29 апреля 2013 г.

Изменения в законодательстве, связанные с персональными данными. Пока про пенсионные фонды

Законопроект № 217355-4 «О внесении изменений в некоторые законодательные акты РФ в связи с принятием ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и ФЗ «О персональных данных» - один из рекордсменов в Государственной Думе. Принятый в первом чтении еще 25 ноября 2005 года, он больше семи лет (!) лежал в дальнем углу ящичка законодателей фактически без всякого движения. Депутаты вспоминали о нем в 2007, 2009 и 2012 годах, предлагая в очередной раз продлить срок подготовки поправок, назначить новых ответственных и соисполнителей.
И вдруг произошел взрыв. 21 марта Правительство на своем официальном сайте разместило полный текст предлагаемых поправок, предлагая сократить число корректируемых законов с первоначальных 23 до 17. Дума активно поработала с текстом, и 26 апреля, оставив в проекте изменения в 14 законов, приняла его сразу во втором и третьем чтениях и передала в тот же день для одобрения в Совет Федерации.
Совфед, презрев выходной день и подготовку к традиционной первомайской посадке картошки, немедленно, в субботу 27 апреля 2013 года принял решение, что рассмотрение закона Советом Федерации не является обязательным, и одобрил поправки. Глава Комитета Совета Федерации по конституционному законодательству, правовым и судебным вопросам, развитию гражданского общества Андрей Клишас пояснил, что поправки, в частности, предусматривают «повышенные меры охраны и защиты персональных данных ограниченного доступа» (ищите здесь).
Как сообщает пресс-служба Совета Федерации, сведения о политических, религиозных и иных убеждениях, членстве в общественных объединениях и профсоюзной деятельности работника без его согласия работодателем обрабатываться не могут, а согласие субъекта персональных данных на предоставление его данных и дальнейшую обработку третьим лицам обязательно. Сенаторы единодушно согласились с этим.
Детальный анализ внесенных изменений требует внимательного и детального их рассмотрения, и лучше его будет сделать не спеша после подписания проекта Президентом. Я же остановлюсь на том изменении, к которому имею самое непосредственное отношение, поскольку готовил его текст и искал проходную для Думы формулировку.
Статья 3 законопроекта радикально меняет статью 15 «Конфиденциальная информация фонда» Федерального закона от 7 мая 1998 года № 75-ФЗ «О негосударственных пенсионных фондах». В новой редакции предусматривается, что фонд вправе получать, обрабатывать и хранить информацию, доступ к которой ограничен в соответствии с федеральными законами, в том числе осуществлять обработку персональных данных вкладчиков-физических лиц, страхователей-физических лиц, участников, застрахованных лиц, выгодоприобретателей и правопреемников участников и застрахованных лиц. При этом фонд не обязан получать согласие вкладчиков, страхователей, участников, застрахованных лиц и выгодоприобретателей на обработку персональных данных в объеме, необходимом для исполнения договора, в том числе – касающихся состояния здоровья указанных лиц и предоставленных ими или с их согласия третьими лицами. Указанная информация может быть передана правопреемникам участников и застрахованных лиц. Фонд вправе поручить обработку персональных данных всех этих субъектов организациям, которые, в соответствии с договором, осуществляют ведение пенсионных счетов, если указание на такие организации содержится в правилах фонда, а также иным организациям, если это необходимо для исполнения пенсионного договора, договора об обязательном пенсионном страховании, договора о создании профессиональной пенсионной системы и не обязан получать согласие субъектов персональных данных на поручение обработки персональных данных всем этим третьим лицам.
Теперь никаких проблем с получением согласия практически всех лиц, чьи данные обрабатываются негосударственным пенсионным фондом, в том числе – о состоянии здоровья, а также с передачей персданных любым третьим лицам в рамках исполнения договора, не требуется. Я считаю это прорывом и свидетельством того, что позитивные изменения вполне реальны. Да и прецедент создан.
Для меня это – самое серьезное личное достижение в законотворчестве. И подтверждение того, что терпение и труд…

10 апреля 2013 г.

На смерть приватности

Может, конечно, она еще не совсем умерла, но при смерти точно. Я уже как-то писал об этом в своем давнем посте, но вопрос заслуживает отдельного рассмотрения.
Как мне кажется, 21 век стремительно уничтожает выпестованный столетиями институт приватности сведений о гражданах. Мы наблюдаем фантастическую, стремительно разворачивающуюся в реальном времени картину изменения характера, фундаментальных взглядов и менталитета людей под влиянием технологий, причем технологий информационных. Я не социолог, но рискну предположить, такого изменения отношения к собственной жизни в течение такого короткого срока человечество еще не наблюдало. Причем атака на личную тайну идет одновременно со всех направлений.
Тайна частной жизни атакуется «снизу» – потому что приватность уничтожают сами люди. Стремительное проникновение во все стороны нашей жизни Интернета и, особенно, социальных сетей, привело к тому, что пользователи сами, добровольно, без всякого принуждения, стали сообщать огромное количество сведений о себе, своих близких, своей жизни неограниченному кругу лиц. Познакомился, поругался, обручился, женился, заболел, поехал в отпуск с указанием не только страны, но и конкретного отеля, с какого вокзала, с кем вместе, какую машину арендовал, что съел и выпил (обязательно с фото), и так без конца и ограничений.
Приватность атакуется «сверху». Трещит по всем швам выкованная тысячелетним опытом банковская тайна, причем трещина пошла не от тоталитарных стран, требующих от граждан полного повиновения, а от совсем недавно бывшей эталоном Швейцарии. Капитулировал еще один недавний образец недоступности банковских счетов – Люксембург. К американскому закону о налогообложении иностранных счетов (FATCA) уже присоединились семь государств (три из них подписали, но не ратифицировали соглашение), еще семь – в стадии активных переговоров (из них два – оффшорные острова Мэн и Джерси), предварительный диалог ведут 17, изучают варианты заключения – 14.
Не отстают и наши законодатели. Вот-вот получат доступ к счетам физических лиц налоговики, а руководитель одного из банковских сообществ и депутат по совместительству вносит в Думу законопроект о расширении круга субъектов, которым могут быть предоставлены сведения, составляющие банковскую тайну, чем ошарашивает даже Правительство.
И, что важно, мы не на финише. Мы в начале процесса.
Боковые атаки на приватность тоже множатся. Знамя запертого в эквадорском посольстве Ассанджа, заварившего эту кашу в мировом масштабе, но пока ограниченного в возможностях, подхватил консорциум журналистов ICIJ, создавший невиданных масштабов базу данных владельцев счетов и фирм в оффшорах Offshoreleaks.
Никто уже не удивляется вываливаемым ежедневно в СМИ и Интернет гигабайтам материалов прослушки и электронных писем кого угодно – от политиков до воров в законе (разница есть не всегда) до шоу-звезд и телеведущих. Никто не удивляется и никто, что для меня более странно, не возмущается. Более того, все эти прослушенные-перехваченные продолжают говорить по обычным сотовым телефонам и слать мыло через публичные серверы.
Видя такую беспредельную толерантность граждан к нарушению приватности, радостно оживают государственные фискалы и спецслужбы, готовые не только воспользоваться данными, явно слитыми кем-то из их коллег , но и под шумок упростить доступ к переписке и разговорам частных лиц.
Не теряют время и крупнейшие компании, построившие свой бизнес в мире, где главный источник информации, главное средство коммуникации и главное место покупок и развлечений – Интернет. Они настойчиво и, похоже, успешно, лоббируют смягчение требований к защите персональных данных в Европе, а пока новые нормы не приняты - строят мощнейшие системы сбора данных о каждом чихе своих клиентов в сети, научившись по кукам и движению мышки определять возраст, пол, цвет кожи, фиксируя каждый посещенный сайт каждую покупку и сливая это рекламным компаниям и продавцам.
Все это – факты, собранные в течение всего одного месяца аналитиками нашего агентства для ежемесячного обзора.
Такой взгляд на приватность фактически поддерживает значительная часть населения, усилиями которой на повестку дня выдвинут безумный лозунг «Честным людям скрывать нечего». Я уже много раз это слышал от вполне адекватных, казалось бы, людей.
Мне кажется, эйфория открытости неизбежно пройдет. Человек – животное стадное, но не до такой же степени. И тогда придется думать, что делать в высокотехнологичном мире, просвечивающем людей получше любого рентгена. Многое можно сделать уже сегодня. Но об этом как-нибудь в следующий раз.

4 апреля 2013 г.

Про лаборатории, кнут, пряник, гадалку и суд

По давней традиции, на два периода - апрель и стык сентября-октября приходится наибольшее количество мероприятий, связанных с информационной безопасностью. Этот год – не исключение. Поэтому приходится выбирать то, что кажется наиболее интересным и близким по содержанию.
18-19 апреля – межотраслевой форум директоров по информационной безопасности VI CISO Forum 2013. Не путать с прошедшим в марте Russian CSO Summit VI, хотя, конечно, их американские доллары удивительно похожи на наши российские баксы.
Дьявол всегда в деталях. Вот за счет деталей и формируется отношение к тому или иному мероприятию. На Форуме, например, сразу четко разбили программу на две части – Лаборатория стратегии и Лаборатория практики. Хотите про проблемы и тренды – вам на стратегию. Хотите про конкретный продукт или услугу из первых рук – пожалуйте на практику. И не пытаются организаторы перемешать вендорские доклады с проблемными, чтобы народ не разбежался. Каждый волен слушать то, что ему ближе. Кстати, в умелых руках и подготовленных устах евангелиста или умного продакт-менеджера выступление про продукт/услугу – не обязательно голимая реклама с бессмысленным набором тактико-технических характеристик, никак не увязанным со сценарием использования. И на продуктовые вебинары, если они правильно организованы, народ в последнее время через Интернет хорошо собирался.
Что еще интересного. Мне лично – послушать про внутренний маркетинг и PR в деятельности службы информационной безопасности в исполнении Константина Коротнева из «Эльдорадо». О том, что надо научиться продавать сервисы безопасности внутреннему заказчику, давно уже говорят. Но мало кто делает. Поэтому и интересно. Или про «психологию внедрения нового» применительно к защите информации от Андрея Ерина из лизинговой компании CARCADE. Пару лет назад фирма, занимающаяся автомобильным лизингом, обратила на себя внимание, вывешивая на HeadHunter несколько месяцев подряд вакансию специалиста по информационной безопасности с весьма привлекательными 150 тысячами оклада. Видимо, не зря так долго искали.
В первый день после обеда Алексей Лукацкий будет вести секцию про мобильность и BYOD, особый интерес в которой для меня представляет участие руководителя направления ИБ «Яндекс» Антона Карпова. Широко известный в узких кругах интересующихся Дмитрий Козюра раскроет волнительную тему лицензирования деятельности, связанной с криптографическими средствами, в новых условиях 99-ФЗ и ПП-313.
Закончится деловая часть первого дня Вечерним дискуссионным клубом, который обсудит естественно, по требованиям трудящихся на ниве защиты, проблемы персональных данных. Состав желающих высказаться на эту животрепещущую тему собирается просто-таки «звездный» (по алфавиту, чтобы ни в чем не обвинили): А.Бондаренко (LETA), А.Волков («Северсталь»), Д.Костров (Минкомсвязи), А.Лукацкий (Cisco), А.Сычев (Банк России), А.Токаренко (традиционно на таких мероприятиях – независимый эксперт) и Д.Устюжанин (Вымпелком). Ну, а следить за порядком в таком представительном сообществе и обеспечивать возможность высказаться всем и примерно поровну попросили меня. Предполагаем, в первую очередь, сосредоточиться на вопросах участников из зала. Их, кстати, можно задать заранее, направив по адресу club@infor-media.ru. В этом случае приоритетное рассмотрение могу гарантировать.
Второй день начнется банковской сессией и параллельно – анализом практики обеспечения безопасности АСУ ТП, рассмотрением интеллектуальной безопасности и SIEM 2.0. После обеда – выходящая на первый план в последнее время проблема безопасности исходного кода, и взгляд на безопасность практика С.Голяка с Магнитки.
Заключительный аккорд Форума – Лаборатория стратегии «Охрана интеллектуальной собственности». Взявшись за его организацию, я поставил задачу рассмотреть самые разные аспекты этой проблемы. Среди обсуждаемых вопросов – защищенный (т.е. допускающий возможность обработки информации ограниченного доступа) юридически значимый документооборот, система мотивации, позволяющая защитить секреты производства пряником, и система контроля с использованием DLP, больше похожая на кнут. Я расскажу, почему при нарушении прав обладателя секрета производства лучше идти в суд, а не к гадалке с вопросом «Что дальше будет?», и как к этому походу подготовиться. Особую пикантность мероприятию придает участие в дискуссии, которая завершит фиксированные выступления, примут последовательный критик DLP-систем Алексей Волков из «Северстали» и Константин Левин, директор по продажам производителя таких систем – компании InfoWatch. Надеюсь, что будет познавательно и не скучно.
До встречи на Форуме.