Бизнес: Бесконтрольный доступ силовиков к информационным системам нарушит их целостность

АБД, куда входят «Яндекс», VK, «Ростелеком», «МегаФон» и др., составила отзыв на правительственный законопроект о контроле силовых структур за базами персональных данных. Об этом сообщает «Ъ» со ссылкой на документ.

Поправки к ряду федеральных законов («О ФСБ», «О государственной защите судей…», «О полиции» и т. п.) были внесены в Госдуму в августе текущего года, и они оговаривают особый порядок работы с персональными данными лиц из ряда категорий.

Силовые ведомства смогут удалять и подменять записи, связанные с такими людьми, в том числе посредством удаленного доступа к базам. Возможность модификации информации и «бесконтрольный доступ органов обороны и правопорядка» к базам персональных данных может нарушить их работу и целостность, а также создает риски передачи сведений третьим лицам, говорится в отзыве.

В АБД отмечают, что это приведет к административному и уголовному преследованию лиц, ответственных за базы данных, из-за противоречия с другими требованиями, в том числе к банкам и субъектам критической информационной инфраструктуры (КИИ). АБД возражает и против обязанности уведомлять органы власти о появлении в базах «сведений о ведомственной принадлежности» людей. Непонятно, что относится к таким сведениям, поясняют в ассоциации.

Ассоциация просит или исключить положения об удаленном доступе силовых структур к базам данных, или оставить его только для государственных и муниципальных информсистем. Изъятие или модификация данных должны осуществляться не напрямую, а через отправку официальных запросов, «в том числе через выделенных работников операторов персональных данных, имеющих допуск к государственной тайне». Предложения были направлены в ФСБ, аппарат Правительства и комитет Госдумы по информполитике ещё в конце августа, но совет Госдумы в середине сентября включил законопроект в программу работы в ноябре.

Прямой доступ к базам данных потенциально нарушает сразу три основных свойства информационной безопасности — конфиденциальность, целостность и доступность, отметил главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников. Угрозу для первого свойства создает наличие доступа к базе, для второго — возможность неавторизованных изменений. «В худшем случае приложение станет неработоспособным, и это будет уже нарушение третьего свойства», — сказал Овчинников.

Гендиректор Telecom Daily Денис Кусков полагает, что любая дополнительная возможность доступа к персональным данным создает риски. Если спорный законопроект будет принят, то «нужно организовать многоуровневый доступ к базам данным, с разными политиками и набором прав — на чтение, на изменение, на удаление», сказал эксперт. Компаниям, которые сейчас ведут публичные отчеты о запросах госорганов (в частности, «Яндекс» и «Хабр») необходимо предоставлять сведения и о подобном доступе, добавил он.