Вступить в Клуб Войти
Введите логин
Введите пароль
напомнить пароль

Игорь Мялковский, заместитель генерального директора по автоматизации, «Тринити»: «Польза и вред защиты персональных данных»

07.08.2011
Сначала надо все запретить и забрать, потом частично  разрешить и вернуть.
(Советский принцип всенародного счастья и единства)

Весь российский народ в свете решений 152-ФЗ единым строем уже более двух лет занимается обеспечением безопасности/защитой персональных данных. В некоторых первоисточниках — «безопасность». В новых документах — «защита». Полагаем это одним и тем же.

Во  множестве  публикаций  на эту тему видна тенденция  от общей  («не кошмарить  бизнес»)   до  конкретной  отмены наиболее жестких  требований к аттестации информационных систем классов К1 и К2. Частично свободы возвращаются. Потому как  «жесткость российских законов  компенсируется необязательностью их исполнения». И «всех все равно не перестреляют». «Надо бы еще осмотреться, а вдруг не пригодится, и поглядим, как  другие делают».

С другой стороны, налицо тенденция  регуляторов  отстоять  свою  позицию  даже путем следующих нарушений законов: требуют вопреки постановлению Правительства № 504 не брать в аренду («приобретая любым законным способом»), а именно приобретать дорогостоящие приборы для проведения измерений при аттестациях информационных  систем. Предпринимателям приходится  поддерживать российского производителя. Цена вопроса — тысячи, а иногда и миллионы рублей, которые надо потом «отбить». Чем проблема отличается от рэкета продовольственного ларька?

А как с мотивацией?

По прошествии этих дорогостоящих  годов для аттестуемых систем хочется,  однако, взглянуть на проблему с необычной для законопослушных людей стороны: как отражаются на мотивации людей новые ограничения их прав доступа  к данным, к компьютерам, к программам,  к бумагам, к охраняемым помещениям  контролируемых зон? Как обычно ведут  себя люди, когда все под контролем во  имя их же благополучия под наименованием «прав» и «свобод»? Как они ведут  себя, когда заплатили или стоят перед  фактом заплатить несколько миллионов  непредусмотренных бюджетом фирмы  денег за то, что и так уже было до оплаты? Как они относятся к тому, что большую часть законных требований можно  выполнить, используя  имеющиеся,  правда, не совсем сертифицированные,  средства — операционные системы, серверы и рабочие станции пользователей?  Почему бы, например, не достигать, как  в Европе, целей защиты ПДН  любым  доступным способом, лишь бы не было  утечки  таких  сведений?  Обеспечить  фиксирование каждого факта утечки  и НСД к персональным данным. Как?  Да все равно.

Ведь именно такие вопиющие утечки, связанные с широкими незаконными  рассылками персональных данных  из баз налоговой инспекции или МВД,  приводятся  в  обоснование  внедрения  Федерального  закона № 152-ФЗ  (с изменениями от 25 ноября, 27 декабря 2009 г.,  28 июня, 27 июля  2010 г,  04.06.2011). Наверняка каждый пользователь электронной почты систематически получает рассылки спама с предложениями купить базу налоговой или  МВД. А у этих-то учреждений наверняка  с техническими средствами и режимом  секретности все должно быть в порядке.  Кто же тогда их рассылает и поддерживает актуальность? Автор указан в адресе отправителя и имеет номер телефона. Но ничего не происходит, даже если  такое письмо отправить в прокуратуру,  например. Кто-нибудь, интересно, пробовал это делать? Пробовали. И не раз.  Эффект нулевой! Кстати, само наличие  такого большого количества правок и изменений 152-ФЗ уже говорит о многом.  Даже неловко представить, о чем.

Святая забота о правах за деньги

Забота о законных правах граждан —  святое. Особенно когда за эту заботу хорошо и вынужденно платят. Особенно  когда на страже этих законных прав стоят незабвенные регуляторы — уполномоченные, проверяющие требования закона, органы и та самая прокуратура, куда  отправляли письма из спама. И особенно когда деньги, полученные в качестве  оплаты за заботу, поступают для оплаты  других забот. Все на это искренне надеются. Консенсус оплаты забот и высокого  уровня жизни — разве не есть благо?  В таких условиях общество делится  на нарушителей закона и на  законопослушных заплативших. Последним  более всего  и достается. Кто-нибудь обращал внимание на то, как гаишники относятся к толпящимся в очереди за получением прав после уплат штрафов?  Это  —  очередь нарушителей.  Люди вне закона. Нелюди! И не важно,  что они нарушили. И не важно, что они  заплатили все штрафы и вроде бы уже  перестали быть нарушителями. Важно  то, что они стоят в многочасовой очереди в свое рабочее время и видят, как  проходящие на развод офицеры в форме МВД презирают их. Часто, кстати,  штрафы ведь предпочитают платить,  «договариваясь на месте», именно из-за очереди, а не потому, что штрафы  большие и их надо платить.

Известная  шведская  писательница  Карин Бойе в романе-антиутопии «Каллокаин» исследовала (еще в 1940 году!)  систему абсолютного контроля за людьми.  Когда в интересах благополучия законопослушных граждан все истинные мысли  поставлены под контроль. Не требуется  мер защиты персональных данных, не  нужно тратиться на  технические  средства: всем и так заранее ясно, кто хочет  украсть чужие сведения. Попутно намекая  на то, что коммунистические устои ничем не лучше, Бойе описала тоталитарно-фашистский режим  глазами  фашиста  с мирком законопослушника-доносчика. Я читал эту книгу ребенком. В то время  не было в широком употреблении слова  «бестселлер», но имя автора я запомнил  на всю жизнь. Поразило то, что наказывали именно за намерения. Уж я-то в те времена точно знал, что мне хочется, чтобы  никто не знал, что именно.

Любая книга, текст, содержащий эмоции автора, каким-то образом эти самые  эмоции передает читателям.  Загадка.  Нельзя просто о чем-то писать без чувства. Не следует даже начинать. А тут у Бойе впечатляющая  эмоциональная  ситуация, доведенная до абсурда — расстрел души на месте чтения. Это та самая  конечная, абсолютная цель контроля людей. К чему стремимся, не осознавая.

Наши странные законы

У любого пользователя  бунт  души  начинается в момент, когда он обнаруживает новые ограничения в настройках  своего компьютера: оказывается, внешний привычный почтовый ящик уже недоступен, клиенты,  найденные через  «Одноклассников» или «Вконтакте», уже  не видны на работе, а только дома, есть  ощущение, что вопреки Конституции РФ  твою почту кто-то перлюстрирует, потому что это — корпоративная культура такая. Потому что это можно (и делается  во благо фирмы) прописать в Трудовом  договоре. Или от того, что информация  об  окружающей  среде рядом с твоим  домом (по закону 149-ФЗ) должна быть  всегда открытой,  а на  деле —  самая  засекреченная, даже если очевидная.  Вспомним Чернобыль  или недавнюю  Фукусиму.

И, конечно же, всякий в любой момент  имеет  доступ   к  информации  об использовании бюджетных средств  страны, которая, согласно тому же замечательному закону 149-ФЗ, не должна  быть скрытой. 

Законы в России работают странно.  Как-то случайно узнал, что в некоторых  театрах актеров, если они произносят  слово «справедливость», тут же увольняют…

Кстати, от того, что получил в спаме  рассылку налоговой базы и случайно,  получив к ней доступ, нашел там себя,  душевный бунт меньше. Стало привычным. Вообще никакого бунта не вызывает информация о том, что Роскомнадзор  лояльно проверяет организации, подавшие уведомление о  том, что  они —  операторы персональных данных. Конечно же, доступа к лицензиям на виды  деятельности или реально к тому, какая  организация чем занимается, ни у кого  на государственном уровне нет, чтобы определить, является он оператором или  нет. Проверка на «вшивость»: подал —  честный, не  подал  — жди  проверки.  Хотя, если подал, все равно жди, вдруг  все-таки не совсем честный. Проверки  и уведомления никак не связаны. И это нам говорят после долгих десятилетий  социализма! После стольких обманов  населения России в надеждах на получение квартир, увеличения пенсий, льгот  ветеранам… 

Если  человек  нашел организацию  в реестре, значит, организация соблюдает закон о персональных данных и в нее  можно смело устраиваться на работу.  С нею можно сотрудничать: у нее рейтинг «уровня реестра Роскомнадзора»,  наподобие уровня ИСО 9001-2008.

Можно идентифицировать личность  по фразе: «рыжий электрик обесточил  весь  город»?  Где тут  персональные  данные? А можно дать бабуле из горного аула кусок носка ребенка, и она укажет, где он, как зовут и чем занимается.  Ванга, Мессинг, какие-то еще психологи  могли, говорят, это делать.

Польза и вред, как любовь и смерть

Так  все-таки,  чего больше в  море  законодательства   о  персональных  данных — счастья или вреда? Если бы  можно было измерить вред, нанесенный  людям в виде отсутствия доверия, отсутствия мотивации, отсутствия надежды! 

Можно количественно измерить рекомендуемым перечнем документов, необходимых для каждой ИСПДн, которые  должны быть в реальном делопроизводстве. А лучше измерить вдвое большим  перечнем замечаний и документов, составленным на основании результатов  проверок регуляторами.

Китайский Конфуций, по рассказам  историков, прославился тем, что, буду- чи мэром города, за короткий срок обеспечил значительный подъем экономики. За счет отказа от рабства, за счет  увеличения степеней свободы людей, их  мотивирования к самостоятельной деятельности. Отказ от рабства, как бы того  ни хотелось, в то время, когда рабство,  как общественный строй, только начало развиваться. Конфуций Кон Кью стал  министром экономики. Но на последнем  поприще не сумел выполнить даже того,  что делал, будучи мэром.  Потому что  амбиции руководителей оказались более масштабными. Угнетение во благо  равнозначно самоуничтожению. 

Почему 152-ФЗ разработан в России?  Как могла быть создана одна из самых  дорогостоящих и масштабных заготовок  «кошмарить бизнес» по полной программе во время, когда есть указание Президента делать наоборот? Чего ждать?  Прихода  нового президента, и потом  уж оттянуться, как обычно, на мелком  и среднем бизнесе? Так лучше на пенсионерах. Их блага легче всего защищать, потому что благ просто нет.

Счастье наступит. Его не может не  быть.  Оно возвращается  постепенно  в виде частичных послаблений законодательства и новых редакций 152-ФЗ.  Успехов всем начинающим и закоренелым защитникам персональных данных  нашей необъятной Родины!

Игорь Мялковский

Управляющий по взаимодействию с ВУЗами и отраслевыми учебными центрами

Другие публикации Игорь Мялковский