|
Защитить паспортные данные — основная задача
Одним из самых сложных моментов перехода России на e-паспорта является вопрос о создании централизованной базы данных биометрической информации. С одной стороны, создание такой базы и организация доступа к ней структур, осуществляющих проверку личности при возникновении такой необходимости, позволит ускорить и оптимизировать этот процесс. С другой стороны создание единой базы данных возможно лишь в том случае, если будут обеспечены гарантии защиты содержащейся в ней приватной информации. А на данный момент базы данных в России, будь то таможенные, базы прописок или проводок ЦБ, защищены из рук вон плохо, а потому нередко оказываются в продаже на лотках. Некоторый мировой опыт решения данной проблемы уже существует: Европарламент запретил создавать централизованное хранилище биометрической информации на том основании, что это противоречит правам человека. В Германии принято решение не создавать вообще никаких баз, а заносить все биометрические данные человека только в микрочип его паспорта. 25 ноября 2005 года Государственной Думой был принят в первом чтении законопроект «О персональных данных», в котором предусмотрено, что сбор и обработка данных личного характера могут проводиться только с согласия конкретного лица за исключением случаев, специально оговоренных в законодательстве. Кроме того, вводится особая категория персональных данных, не подлежащая обработке: это сведения о расовом и этническом происхождении, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, сексуальных наклонностях и судимости. Предусмотрено создание специального органа, который будет обеспечивать защиту персональных данных граждан. Первоначально законопроектом планировалось создание единого регистра населения, содержащего биометрическую информацию. Но под давлением общественности к моменту первого чтения данный документ уже не предполагал специального сбора биометрических данных, а единый регистр должен был включать в себя следующие параметры: Ф.И.О., дата и место рождения, пол. Его рассмотрение во втором чтении было намечено на февраль 2006 года. На настоящий момент известно, что Президент Владимир Путин направил отрицательное заключение в Госдуму относительно законопроекта «О персональных данных» и рекомендовал депутатам исключить 23-ю статью (о введении идентификаторов персональных данных, которые присваиваются каждому человеку) и 24-ю статью (о создании государственного реестра населения). На том же заседании Госдумы в ноябре 2005 года была ратифицирована Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Конвенция была принята в Европе в 1981 году, Россия подписала ее 2001, но для ратификации Конвенции ее основные принципы должны быть зафиксированы в национальном законодательстве. Поэтому в Госдуме РФ в настоящее время рассматриваются проекты сразу четырех федеральных законов, обеспечивающих выполнение условий Конвенции: «О ратификации Конвенции о защите физических лиц при автоматизированной обработке персональных данных», «О защите персональных данных», «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О защите персональных данных» и новая редакция Закона «Об информации, информатизации и защите информации». По данным о нарушениях в области информационной безопасности, представленной Российскими силовыми ведомствами, из общего количества преступлений в информационной сфере две трети связаны с несанкционированным доступом к информационным ресурсам. По сведениям ФСБ, количество атак на информационные ресурсы российских госорганов увеличивается ежеквартально на 7%. По мнению многих представителей подразделений информационной безопасности, наиболее серьезной угрозой для информационных систем своих организаций являются не внешние атаки, а действия собственного персонала, причем это не заранее спланированные «атаки» или кража информации, а просто несоблюдение установленных правил и чрезмерное любопытство. Аналогичные выводы позволяет сделать и международная практика: наиболее вероятные действия «внутренних» злоумышленников — не хищение информации или финансовые мошенничества, а нарушение правил пользования информационными системами. В интервью радиостанции «Эхо Москвы» заместитель министра информационных технологий и связи РФ Дмитрий Милованцев выразил мнение, что «собирать все данные о человеке в одну базу нельзя, неправильно и ни с какой точки зрения нецелесообразно». Дело в том, что не существует средств и методов, дающих 100-процентную гарантию того, что утечки сведений не произойдет: кроме проблем технической защиты баз данных персональной информации существует еще и человеческий фактор, противостоять которому, может быть, еще сложнее. Новый закон вводит персональную ответственность операторов баз данных и лиц, которые в данной организации отвечают за сохранность сведений о частной жизни граждан. По словам Дмитрия Милованцева, «базы данных собираются только в государственных органах только в силу указания соответствующих законов. Закона о Пенсионном фонде, Налогового кодекса и так далее… В европейской практике существует принцип создания независимого органа по защите персональных данных. Мы считаем, что Россия должна пойти этим же путем. В законопроекте прямо предусмотрено наличие подобного органа». Еще один немаловажный вопрос, волнующий многих потенциальных владельцев паспортов, — это возможность организации слежки за владельцем паспорта и несанкционированного дистанционного считывания зашитой в нем информации. Дело в том, что разрабатываемые биометрические паспорта будут оснащены электронными передатчиками RFID (Radio Frequency Identification — радиочастотная идентификация), которые хорошо знакомы всем нам по противокражным меткам на товарах в магазинах. Разработчики чипов утверждают, что для производства паспорта используется специальный материал, предотвращающий считывание информации, зашитой в чипе, с расстояния более 10 см. Значит, для того, чтобы отсканировать информацию, зашитую в чипе, необходимо открыть паспорт и достаточно близко поднести его к считывающему устройству, а это сложно сделать без ведома его владельца. Кроме того, при прошивке чипа используется система безопасности BAC (Basic Access Control), которая предусматривает непосредственное считывание индивидуального идентификационного номера (Personal Identification Number — PIN), расположенного на странице паспорта, а также шифрование данных при передаче из чипа на сканер. Несмотря на то, что многие известные эксперты в области безопасности высказались за достаточность используемой системы безопасности и данная технология уже принята как базовая и в США, и в Европейских странах, существуют и противоположные мнения. Оппоненты утверждают, что уже сейчас существуют сканеры, способные считывать информацию с расстояния более 50 метров, а уровень шифрования данных, зашитых в e-паспорте, не достаточен хотя бы потому, что данные защищены одним единственным постоянным PIN-кодом. Тем не менее, представители российских ведомств, участвующих в создании паспортно-визовых документов нового поколения, утверждают, что новый загранпаспорт не дает никому возможности отслеживать местонахождение человека или иным образом нарушать тайну его личной жизни. В биометрическом паспорте применены новые технологии, надежно защищающие документ от несанкционированного считывания данных, а также внесения в него изменений. Наталья Рудычева / CNews |
О проблеме защиты персональных данных говорится уже давно. Особенно актуальной стала эта проблема в связи с активным проникновением Интернета во все сферы жизни граждан России. Базы данных, содержащие личную информацию граждан, накапливаются неконтролируемо, неограниченно и бессистемно. А затем легко и непредсказуемо попадают в открытый доступ: в справочные системы сети, на прилавки торговых палаток. Общество оказалось не готово к решению этой проблемы — существующее законодательство защищает авторские права на базы данных, но не защищает персональные данные человека, тем самым лишая его возможности предъявить иск тому, кто сделал их достоянием общественности.
