Контрольный пакет: бизнес выступил против доступа силовиков к его базам данных

«Бесконтрольный доступ»

Forbes ознакомился с замечаниями и комментариями, которые подготовила Ассоциация больших данных (АБД, объединяет «Яндекс», VK, «Сбер», Газпромбанк, Т-Банк, Россельхозбанк, «Мегафон», «Ростелеком», билайн, МТС, ВТБ, Avito, HeadHunter и др.) к проекту совместного приказа силовых служб о порядке их доступа к базам персональных данных бизнеса. Этот документ разработан во исполнение принятого в феврале 2025 года закона об особом порядке обработки личных данных сотрудников Федеральной службы безопасности (ФСБ), Службы внешней разведки (СВР), Федеральной службы охраны (ФСО) и министерства внутренних дел (МВД). Помимо сотрудников, речь также идет о гражданах, содействующих силовикам на конфиденциальной основе, о судьях, потерпевших или свидетелях, подлежащих государственной защите.

В проекте приказа указано, что бизнес должен предоставлять доступ силовым службам к своим информационным системам (ИС) с персональными данными для обработки информации защищаемых лиц. Этот доступ не может быть ограничен владельцами таких систем технически, по скорости обработки информации или по времени.

В АБД считают, что такой механизм несет «существенные правовые, технологические и бизнес-риски», а также риски информационной безопасности. «По сути, он предусматривает бесконтрольный доступ должностных лиц к информации, содержащейся в информационных системах», — пояснили в ассоциации. К примеру, может быть нарушено штатное функционирование ИС, возможно возникновение компьютерных инцидентов, требующих принятия мер по ликвидации последствий компьютерных атак. Непонятно также, каким образом владелец ИС должен обеспечить условия для работы со сведениями, составляющими государственную тайну, и как определить ответственного за предоставление доступа должностным лицам, указывают в АБД.

В ассоциации напоминают, что действующие законодательство — «пакет Яровой» — обязывает операторов данных, организаторов распространения информации (ОРИ) хранить и предоставлять данные по запросам силовых органов. «Механизмов модификации хранимых в силу закона сведений проектом приказа не предусмотрено. При этом за нарушение установленных требований «пакета Яровой» предусмотрена административная ответственность», — добавили в АБД.

Более того, для объектов критической информационной инфраструктуры (КИИ, сети операторов связи, банковская, энергетическая и транспортная инфраструктура) не допускается, согласно приказу ФСТЭК, удаленный доступ к информационным системам людей, которые не являются сотрудниками субъекта КИИ.

В АБД предложили предусмотреть возможность взаимодействия силовых органов с бизнесом в индивидуальном порядке. Для этого следует предусмотреть подписание соответствующих соглашений, в которых будут урегулированы вопросы предоставления доступа к их информационным системам с учетом особенностей этих самых систем.

«Очень обтекаемо»

В Минцифры сообщили, что не принимали участия в подготовке и разработке документа. «Мы находимся в постоянном взаимодействии с коллегами. При получении инициативы готовы рассмотреть ее и направить свои предложения», — добавили в министерстве. В ФСБ и МВД не ответили на запрос Forbes.

Источник, близкий к Минцифры, пояснил, что по исполнению требований «пакета Яровой» удалось достигнуть компромиссного решения: ФСБ заключает соглашения с компаниями, в которых очень подробно прописан порядок предоставления информации. В зависимости от компании этот порядок может разниться, но есть и типовые решения, добавил он. Эту практику могут распространить и на доступ силовых органов к базам персональных данных, считает собеседник Forbes. «Можно предположить, что написан проект приказа очень обтекаемо именно потому, что силовые органы планируют прописать детали в таких же соглашениях с бизнесом», — отметил он.

Особая процедура

Документ усиливает контроль силовых ведомств и спецслужб над обработкой персональных данных определенных категорий лиц, таких как информация о сотрудниках силовых органов и разведки, указывает эксперт по защите персональных данных и соучредитель Regional Privacy Professionals Association (RPPA) Алексей Мунтян. Проект приказа затрагивает как государственные, так и частные организации, владеющие соответствующими базами данных, добавил он. Доступ к базе персональных данных может быть предоставлен как сотруднику силового органа на месте, то есть в помещениях с техническими средствами, так и удаленно, но с соблюдением требований информационной безопасности, разъяснил Мунтян.

По словам киберадвоката Саркиса Дарбиняна (признан Минюстом иноагентом), регулирование, предусмотренное приказом, будет работать параллельно с «пакетом Яровой». «Сферы действия различны. «Закон Яровой» регулирует широкий круг пользователей, сотрудников организаций и операторов связи в рамках антитеррористических мер, а этот приказ таргетирован на особую процедуру доступа к данным защищаемых лиц, госслужащих и силовиков», — пояснил он.

Сейчас за нарушение требований по хранению по «закону Яровой» предусмотрены штрафы до 1 млн рублей. Кроме того, есть еще статья 19.7 КоАП, по которой также могут привлекать — непредставление сведений в госорган в установленный срок. «Она предусматривает штраф до 5000 рублей для организаций», — напоминает Дарбинян.