Виктор Гаврилов, ФСБ России: "Спасаться в одиночку не лучший выход"

На вопросы редакции, заданные на II Всероссийской конференции "Персональные данные", организованной компанией Тротек" совместно с МОО "АЗИ", отвечает Виктор Евдокимович Гаврилов, первый заместитель начальника Управления Центра защиты информации и специальной связи ФСБ России

- Виктор Евдокимович, скажите, пожалуйста, почему Вы решили принять участие в конференции "Персональные данные"?

- Поскольку на нашу Службу Федеральным законом "О персональных данных" возложены определенные обязанности, подобные мероприятия мы стараемся посещать. Для меня лично, в первую очередь, представляют интерес вопросы со стороны участников: это показатель уровня понимания тех или иных вопросов, в том числе и входящих в нашу компетенцию, оценка качества документов ФСБ России по персональным данным, а также прогноз проблем, с которыми мы будем сталкиваться при проверках в будущем году.

- Какие вопросы являются наиболее актуальными на подобных мероприятиях, что чаще всего обсуждается?

- Как правило, обсуждается много сугубо юридических моментов, касающихся формулировок действующего закона. Об этом, на мой взгляд, с учетом того, что сейчас прорабатываются вопросы гармонизации законодательства по персональным данным, надо говорить, прежде всего, тогда, когда в мероприятии участвуют представители Госдумы. А вот узкоспециальных "технических" вопросов обычно бывает очень мало.

К сожалению, многие "технические" вопросы свидетельствуют о том, что люди приходят неподготовленными: либо не читали документы ФСБ России по персональным данным, либо толкуют их превратно. Многие вообще считают, что они нелегитимны, поскольку не зарегистрированы в Минюсте, поэтому выполнять их необязательно. Другие используют какие-то витиеватые трактовки, например: "В наших системах нет персональных данных, поэтому мы и не подпадаем под действие этого закона". Это не конструктивная позиция. И тот, кто ее придерживается, быстро в этом убедится, когда в Роскомнад-зор поступит жалоба на его компанию.

Разработчики средств защиты тоже пока не очень хорошо применяют нормативную базу ФСБ России по персональным данным. Нередко они предлагают несертифицированные средства либо произвольно расширяют область применения своих средств и узкоспециальные средства представляют как универсальные решения. На сегодняшний день какого-то комплексного решения от одного производителя неизвестно. Пожелание заинтересованных организаций-операторов к разработчикам - как-то объединиться и создать типовое решение, - пока не реализовано.

В этом направлении первый шаг сделало банковское сообщество, представители которого сверили стандарт Банка России по информационной безопасности с требованиями по персональным данным и подкорректировали стандарт. Таким образом, в перспективе (после согласования откорректированного стандарта ЦБ со ФСТЭК и ФСБ России) банк, внедривший у себя стандарт Центробанка, одновременно выполнит и требования ФЗ "О персональных данных". А вот крупные сотовые операторы, которые в совершенно аналогичных условиях эксплуатируют свою технику, такую попытку сделали, но до конца не довели. Написали ТЗ, нашли исполнителя, но готовое решение пока не появилось. Как они будут действовать после 1 января 2010 г., непонятно. Спасаться в одиночку в данном случае не лучший выход.

- Скажите, пожалуйста, несколько слов о деятельности вашей Службы в сфере защиты персональных данных.

- Наша функция здесь не первостепенная, в большинстве случаев мы отвечаем только за вопросы использования криптографических средств в системах персональных данных. А решать, использовать ли криптографические средства или нет, должен оператор. Во многих случаях можно обойтись и без этого. Со своей стороны мы сделали все, чтобы ситуацию на рынке криптографических средств не менять. То есть для обеспечения определенного уровня криптографической защиты персональных данных могут использоваться те же средства, что и для обеспечения того же уровня криптографической защиты любой другой информации. Новые документы, которые мы выпустили для операторов персональных данных, опираются на документы, известные и до выхода ФЗ "О персональных данных". Это приказ еще Федерального агентства правительственной связи, который определяет все организационные нормы использования средств криптоза-щиты, и приказ Федеральной службы безопасности, определяющий порядок разработки и эксплуатации средств криптографической защиты для информации, не содержащей гостайну. Поэтому, когда мы слышим рассуждения на тему, что документы ФСБ России по персональным данным в Минюсте не зарегистрированы, мы отвечаем: "Хорошо, вы можете не пользоваться нашими рекомендациями, пользуйтесь двумя этими приказами, которые зарегистрированы в Минюсте, и претензий к вам не будет. Документы ФСБ России по персональным данным выпущены вам в помощь. Не нравится - не пользуйтесь".