Работа с персональными данными в отделении пенсионного фонда РФ по СПб и Ленобласти. Место базы персональных данных отделения в системе информационных ресурсов региона

БОРИСЕНКОВ А. И.: Я хочу прежде всего выразить благодарность вам за приглашение, за возможность пообщаться, услышать много интересного, полезного, поскольку в принципе мы, чиновники, как-то иногда корпоративно замкнуты. Вы правы. И нам действительно полезно услышать живые вещи, что за сухими строками документов, в том числе и ведомственных инструкций, многие вопросы в текучке как-то уходят.

Тем не менее, когда мы все-таки вынуждены, действительно, не потому что мы не согласны с этим, но вынуждены сами очень подробно смотреть то, что уже есть и искать там то, что нам полезно в работе, здесь, безусловно, есть несоответствие. То есть, конечно, мы бы хотели видеть те проблемы, с которыми сталкиваемся, уже в решенном виде. Поэтому большое спасибо, что пригласили. Надеюсь, те мысли, которые у меня появились по ходу участия в семинаре, будут полезны и хотел бы ими тоже поделиться. В дальнейшем, если что-то интересующее вас по базам я не скажу, ради Бога, пожалуйста.

ПЕТРОСЯН М. Е.: Мы зададим вопросы.

БОРИСЕНКОВ А. И.: Гостайны тут нет.

Я бы хотел сказать следующее. Как раз говорили о том, что подобные семинары -- действительно, очень действенный механизм. Очень приятно, что тут можно почти до первоисточников (до депутатов) добираться очень короткой дорогой.

Что же нас всех сегодня объединило вокруг этой темы -- защиты частной жизни. Даже не знаю, чего тут больше: то ли последствия развития демократических процессов в нашем обществе, то ли информационная технология сама привела к тому, что мы вынуждены этот вопрос сегодня так подробно обсуждать.

Мне представляется, безусловно, что сейчас мы все стоим перед очень серьезной проблемой. И я думаю, что даже вообще в мире она не может быть полностью осознана. Это трансформация нашего общества, человечества в информационный век. То есть, может быть, такие громкие темы и слова, но никак нельзя от этого уйти. Наверное, надо отсюда начать рассуждения на такие темы, где трудно проводить, искать, нащупывать границы между нравственной сферой и чисто технологической.

Высокие технологии. Человечество уже, наверное, не только столкнувшись с информатизацией, убеждается в том, что высокие технологии это, прежде всего, опасность (это оружие, это экология). И, конечно, незнание, недоверие к этим технологиям приводят к тому, что мы видели на так хорошо изображенных в графическом виде картинках, где человек из последних сил пытается сохранить свою частную жизнь, лихорадочно нащупывая границу между человеком и государственными сферами; в конце концов эта девочка пропадает.

Но мне представляется, что все-таки оптимистическая сторона этого вопроса в том, что человечеству, человеку творческому присуща тяга к познаниям. И она настолько базисна для всех нас, что отказаться от того, чтобы знать больше, иметь доступ к большей информации, невозможно. Это непреодолимо, и, наверное, было бы преступно человеку в этом в конце концов отказать, сославшись на технологические трудности.

Поэтому мне представляется, что сегодняшний этап нашего развития, безусловно, должен (в общем-то как в любой технологии) сочетать в себе элементы защиты. То есть мы должны, видя опасность, которую несут современные технологии, если можно так сказать, сертифицировать их на стадии открытия. Можно даже сказать, что неплохо было бы, чтобы процесс сертификации включил момент выявления той опасности, которая грозит. А сертификация заключается в том, что параллельно вырабатываются и меры, обеспечивающие безопасность такой технологии. Наверное, изначально ставя эти вопросы, нам проще было бы потом отрабатывать механизмы защиты как человечества в целом, так и общества, личности, и, что самое важное, самой информации. То есть информационная технология говорит о том, что сама информация должна быть защищаема. Она тогда будет общественно значимой, если она достоверна, своевременна, обладает качеством полноты; для государственной структуры это еще и целевое использование обязательно.

Закон, который мы сегодня обсуждаем или пытаемся обсуждать, у меня здесь есть в планах есть распечатка приложения к постановлению Государственной Думы от 13 января 1995 года, там составлялась примерная программа законодательной работы, и тринадцатым пунктом закон о персональных данных тогда еще выводился на первое место, но к сожалению, прошел уже достаточно большой период, четыре года прошло, закона этого нет. И сегодняшний вариант, с которым мы могли ознакомиться, он напоминает тему вчерашнего обсуждения с переходом на нормы европейские. То есть существует реальная опасность и в этом случае наступить на те грабли, которые из лучших побуждений приведут к еще большему усложнению и запутыванию вопроса.

Мне представляется, что решая такую большую общественную проблему как информатизация, вступая в этот век, включая эти процессы в жизнь нашего общества, в управление нашим обществом, необходимо все-таки начать с решения проблем информационных ресурсов, составить некую модель информационную, которая бы смогла быть соотнесена с необходимостью удовлетворения информационных потребностей общества и человека. И президент, и чиновник, и ученый, и журналист, и школьник, и ребенок воспринимают информацию, которая до них доходит, основывается на ней. Как и где эти источники, насколько они соответствуют требованиям достоверности, своевременности, полноты, качества и целевого использования, когда речь идет о детях, в частности, тут нужно эти вопросы решать.

И в этом отношении для меня как для чиновника и человека, специалиста в определенной области, интересующегося этими проблемами, для меня все-таки закон "Об информации, информатизации и защите информации" явился неким манифестом в определенном смысле конечно, этого слова. Само название "Информация, информатизация..." и "...защита информации", я согласен с вчерашним выступлением, конечно, надо нам здесь посмотреть, и я так и ориентируюсь, не защиту информации в смысле набора каких-то совершенно конкретных технических процедур, а ставить вопрос об информационной безопасности.

Поэтому я считаю, что сегодня нужно было бы развивать те положения, которые в 1995 году в ряде документов были сформулированы, прежде всего, чтобы последующие наши шаги в правовом регулировании сегодняшних вопросов, конечно, исходили из тех задач, тех постулатов, которые были продекларированы.

Основными направлениями государственной политики, в соответствии с этим законом, очень хорошо здесь так было сформулировано: создание и развитие федеральных и региональных информационных систем и сетей, обеспечение их совместимости и взаимодействия в едином информационном пространстве Российской Федерации.

Я бы даже ограничился только этим заявлением и хотел бы подчеркнуть как раз, что то, что будет способствовать решению этой большой задачи, это и должно стать прежде всего объектом правового регулирования и именно в этом направлении.

И если говорить о законе (уже ближе к Пенсионному фонду) , которым сейчас является основным нашим документом, большое значение в работе Пенсионного фонда имеет, это Закон об индивидуальном персонифицированном учете в системе государственного пенсионного страхования.

Конечно, он не решает очень многих задач, но, поскольку это очень большой этап в пенсионной реформе в нашей стране, я бы хотел просто зачитать статью 3, которая говорит о целях индивидуального персонифицированного учета. Мне представляется, что набор этих целей очень хорошо демонстрирует как раз современный взгляд на решение, казалось бы, достаточно узкой, может быть даже, для многих достаточно скучной, непонятной, отдаленной (для молодых людей) сферы -- сферы информационной деятельности, имеющей непосредственное отношение к сегодняшнему нашему обсуждению.

Целями индивидуального персонифицированного учета являются:

создание условий для назначения пенсий в соответствии с результатами труда каждого застрахованного лица;
обеспечение достоверности сведений о стаже и заработке, определяющих размер пенсии и ее назначение.

Чисто наша, так сказать, сфера. А дальше:

создание информационной базы для реализации и совершенствования пенсионного законодательства Российской Федерации.

То есть, понимаете, цель"

ПЕТРОСЯН М. Е.: "оправдывает средства

БОРИСЕНКОВ А. И.:  А как она поставлена, я считаю, интересно. И в общем-то речь идет как раз об информационной базе. То есть это не только знать фамилию, имя, отчество. Это та информация, которая позволила бы при соответствующей обработке решать вопросы совершенствования законодательства.

Дальше: развитие заинтересованности застрахованных лиц в уплате страховых взносов. Это уже обратное действие того количества информации, которая будет накоплена, и той деятельности, которая будет на основании этой информации проводиться. То есть это уже и нравственный аспект.

Я хочу сказать, что действительно сегодня платить пенсионерам -- проблема нравственная. Ведь не секрет, что современная формация, богатые наши "новые русские", многие наши богатые учреждения находят сегодня возможность обманывать Пенсионный фонд и вообще граждан, платя взносы, не соответствующие их доходам. Так что нравственный аспект здесь есть.

Создание условий для контроля за уплатой. Контроль мы обязаны производить, значит, наша база должна обеспечивать и эту задачу.

Информационная поддержка прогнозирования расходов на выплату пенсий.

Определение тарифов страховых взносов.

Это те большие задачи, которые сегодня можно долго обсуждать, не имея информации. Вот информационная составляющая, возможно, действительно скажет, надо ли 28 процентов платить, или, как Павлов предлагал, 25. А, может, 18? Сколько надо? Чем это объяснить? Для этого должно быть информационное обеспечение.

И среди целей -- даже такая, как бы не очень для России характерная черта, -- забота о том, чтобы люди лишний раз не стояли в различных очередях для получения многочисленных справок, не мыкались, что называется, в поисках информации: упрощение порядка, ускорение процедуры назначения государственных трудовых пенсий застрахованным лицам.

По идее, тяжелая проблема, когда человек бегает, интересуется где бы что найти, особенно сейчас, когда многие госпредприятия уже сдали свои документы в архив или вообще потеряли их, и люди бегают за подтверждением стажа.

Что нам в Пенсионном фонде (и не только нам, но и в органах социального обеспечения) представляется самым важным, для того чтобы рационально использовать информационные ресурсы?

Безусловно, самым главным звеном является обеспечение информационного взаимодействия в едином информационном пространстве, о котором я говорил.

И сейчас если говорить о социальных базах данных, важный момент, который безусловно нужно как-то огласить в законе о персональных данных, это проблема создания социальных регистров. Социальные регистры есть во многих странах. И мне так показалось, что представители Германии как раз интересовались, есть у нас такой социальный регистр или нет. То, что для многих совершенно очевидно, для нас сегодня абсолютно не очевидно и с точки зрения обеспечения безопасности. Хотя как важный элемент информационных ресурсов общества, такой регистр мне представляется просто необходимым как по физическим лицам, так и по юридическим лицам.

Безусловно, если говорить о необходимости обеспечения безопасности информационной, мне кажется, проблемы во многом непонятны для неспециалистов. Мне понравилось выступление докладчика из Венгрии о том, что есть механизмы сегодня. Да, они специальные, они обеспечивают разный уровень возможности организации защиты, но соответствующие механизмы есть. И решить вопрос разумного, рационального использования крупных социальных баз данных сегодня можно. Единственно, что тут очень важно было бы использовать: все-таки доработать те технологии и соединить возможность и необходимость присутствия человека в этих технологиях, просто без человека не могут быть сегодня социальные технологии, присутствие человека и тех технических решений.

Я бы хотел конкретизировать свои слова на простых примерах, которые вчера нас заводили в тупик. Был пример об использовании при назначении штрафов информации дорожной инспекции, фиксированной с помощью технических средств -- номеров автомобилей, превышения скорости и других нарушений и автоматическим выписыванием штрафов. Мне представляется, технология здесь свою роль сделала, а вот человек в этой технологии как бы спрятался за эту технологию и свою-то роль как раз не сделал, что и привело к компрометации технологии. Не технология в данном случае виновата, а виноват человек, который мог бы соответствующим образом те данные, которые фиксировались с помощью технических средств, ввести в правовое поле. Я считаю, что это можно сделать. Такие средства можно обеспечить соответствующими видами защиты информационной чисто техническими и передавать их для расшифровывания и для оценки структурам, которые наделены соответствующими полномочиями. Пусть это будет либо комиссия с присутствием лиц правомочным, гипотетически берем представителя прокуратуры, который участвует в этом.

Вот по СОРМу вы говорили, вот бесконтрольное совершенно дело. Да, технология, но эта технология не только нашими спецслужбами используется, кем угодно используется. И не только можно, сидя на Литейном, прослушать, что наша офисная станция израильская, она сертифицирована у нас, что она накапливает, какую информацию. Я уверяю вас, что (были и открытые публикации) взять информацию можно с этой станции, находясь за рубежом, причем не особенно утруждаясь. Просто там многое заложено, что позволило бы взять.

И если уж на использование мероприятий берется санкция правоохранительными органами в суде, почему бы тогда, исходя из того, что на дворе информационный век, суду соответствующим образом ни контролировать количество проведенных мероприятий. Почему те же технические средства не могут накапливать в защищенном варианте факты проведения подключения? Это можно сделать. И почему бы их для анализа ни передавать в те же суды, кто дает санкции.

ВДОВИН Ю. И. (зам. председателя "Гражданского контроля"): Не хочется

БОРИСЕНКОВ А. И.: Почему? Нет, я вам скажу, это только наши человеческие тормоза. Ведь такой технологии по существу нет нигде в мире. Нигде не передают эти данные. Там нашли другие способы.

ВДОВИН Ю. И.: Спецслужбы везде одинаковые, на самом деле.

БОРИСЕНКОВ А. И.: Это очень плохо, почему бы нам ни регулировать эти вещи?

Мне кажется, надо бы использование информационных технологий вводить в некий баланс. Вот сегодня у нас возможность в нашем государстве не набивать шишки, не идти долгим путем, который прошли уже до нас в этой области, а в общем-то выйти на какие-то решения, которые бы сократили эту дорогу к демократии, я бы сказал. Почему? Потому что информационные базы сегодня -- собранные, задокументированные, одна дополняющая другую, актуализируемые, так сказать, в законном порядке, последовательно разными структурами, -- это залог того, что информация, в них накапливаемая, не будет искажена и не будет либо закрыта полностью, либо замалчиваема. Я думаю, что здесь -- тот резерв, который надо использовать. Использовать, безусловно, решая вопросы информационных ресурсов на всех уровнях.

Если говорить теперь непосредственно о той базе данных, которая есть у нас, о той ситуации с защитой информации, которая существует в городе, могу сказать следующее. Диск, который продается, я видел, с соответствующими подразделениями милиции и ФСБ в контакте. С ФСБ, с ФАПСИ, с гостехкомиссией тоже общаемся на эти темы. Я знаю о некоторых мероприятиях, которые сейчас проводятся в этой области с целью пресечения этого безобразия. Я анализировал имеющуюся информацию на диске, сравнивал с теми базами, которые есть в Пенсионном фонде. В какой-то степени я, человек заинтересованный в том, чтобы выявить, что у меня воруют информацию. В какой степени? Скажу, может быть, тоже как бы от себя отводя. Мы нашли конкретные доказательства, что информация, которая попала, не совпадает с нашей базой данных юридических лиц по фамилиям даже, по ошибкам. Другое дело, что та паспортная информация, которая дана там, она тоже специально в ряде копий искажена, дабы запутывать следы. Естественно, могу сказать, что электронной информации по учредителям у нас вообще нет в базе данных.

Но, тем не менее, я, по должностным обязанностям отвечающий за довольно большие базы данных, которые дополнены переучетом, по идее иногда ночью могу проснуться в холодном поту. Почему? Опять же хочу сказать, что только в августе прошлого года Правление Пенсионного фонда первый раз на заседание Правления вынесло вопрос о защите информации. Конечно, определенным толчком к этому послужила ситуация с Госкомстатом.

Жалко, что мы, как всегда на Руси, пока гром не грянет, креститься ни в какую не хотим.

И почему я с большим удовольствием нормативный материал смотрю 1995 года, где все прописано -- обязанности многих ведомств уделять этому вопросу самое большое внимание, тем более, что в документах -- и в законах, и в указах Президента этот вопрос связан непосредственно даже с вопросами государственной безопасности, но к сожалению, программа информатизации часто содержит в себе одну сторону -- закупку компьютеров разнобойных марок. И этому не предшествует утверждение программы информатизации, которые безусловно, как я считаю, и как постарался донести до вас, должны содержать, просто органически содержать вопросы информационной безопасности.

Должен сказать, что работа, связанная с защитой информации в Пенсионном фонде безусловно организуется и планируется в Москве, потому что это федеральное ведомство. Мне интересно было услышать от представителя Германии о тех проблемах, с которыми он сталкивается в связи с достаточно большими социальными базами данных, их защиты, с возможными нарушениями прав и так далее. И я с удивлением услышал о том, что он к этому никакого отношения не имеет, поскольку это федеральная база данных полностью обслуживается в плане безопасности... пенсионная,.. я ошибся. Полностью находится в этом плане в ведении спецслужб.

ПЕТРОСЯН М. Е.: Нет, не спецслужб, это федеральный уровень, а он земельный уполномоченный, на уровне земли. Нет, не спецслужб.

БОРИСЕНКОВ А. И.: По защите. Я его так понял. Я немецким немножко владею.

ВДОВИН Ю. И.: Наняты спецслужбы для защиты информации.

ПЕТРОСЯН М. Е.: Я не владею, к сожалению, немецким языком, но у меня просто есть закон. Я привезла его.

БОРИСЕНКОВ А. И.: Я думаю, мы сейчас не будем дискутировать.

Если говорить о том ресурсе, который сейчас собирается в пенсионном фонде, и если закон вы видели, то анкетные данные на всех работающих в России людей, они собираются в Москве в одном месте.

ПЕТРОСЯН М. Е.: Вы не скажете выходные данные? Они меня очень интересуют.

БОРИСЕНКОВ А. И.: Закона?

Трудовой части, самой активной, такая база данных собирается. Она где-то уже в районе, только в Питере два миллиона человек у нас зарегистрировано трудового населения. Это будет очень большой массив, будет около 80 миллионов человек -- вот такая база данных. Это обобщенные данные, самые простецкие. Я смотрю, что в новом законе они написаны вообще, в открытых информационных ресурсах возможна их публикация.

ПЕТРОСЯН М. Е.: В открытых для кого? Для общественности?

БОРИСЕНКОВ А. И.: А вот как это звучит?

ВДОВИН Ю. И.: Восьмая статья!

БОРИСЕНКОВ А. И.: Ни в коем случае не восьмая! Где речь идет об общедоступных ресурсах. Это в законе, где говорится о том, что и фамилия, имя, отчество, и паспортные данные, и место жительства, работы -- все может оказаться в этих информационных ресурсах.

ПЕТРОСЯН М. Е.: Седьмая статья.

БОРИСЕНКОВ А. И.: "В целях информационного обеспечения общества могут создаваться общедоступные массивы персональных данных: фамилия, имя, отчество, год и место рождения, адрес местожительства, работы"

ПЕТРОСЯН М. Е.: А вы не посмотрели четвертый пункт. Здесь действительно сказано, что определенные данные, и среди них, действительно, базовые данные: адрес, телефон, место работы, адрес местожительства, как там написано, номер контактного телефона, сведения о профессии, иные сведения, предоставленные субъектом или полученные из других источников (тоже довольно смело)" но дело в том, что здесь есть четвертый пункт, где сказано, что персональные данные конкретного субъекта безотлагательно исключаются из общедоступного массива на основании распоряжения этого субъекта.

БОРИСЕНКОВ А. И.: Я вас могу успокоить, что мы даже и не представляем себе, чтобы это был совершенно открытый массив.

ПЕТРОСЯН М. Е.: Дело в том, что общий-то режим конфиденциальности"

БОРИСЕНКОВ А. И.: Да, он законом установлен.

Тем не менее нападки" В этом плане, так сказать, и есть пожелание. Поскольку, например, в ряде проектов создания социального регистра нашего города были такие шальные предложения о том, чтобы те данные, которые организаторы предполагали собрать в одном месте, сделать общедоступными. Такие моменты тоже были. Почему? Потому что подумать, как разграничить, очень сложно. А получить эти данные, обеспечив себе возможность, скажем, на уровне города, приняв соответствующий закон, -- такие мысли были (попробовать).

Конечно, я думаю, что это идет от незнания, и сейчас такие концепции дорабатываются, так же затягивается вопрос. Но я думаю, что он и будет затягиваться. В Башкирии такой регистр существует. Это субъект Федерации. Наверное, нам не удастся принять корректные документы здесь, в городе, чтобы такой социальный регистр сделать. А он в обще-то очень необходим сейчас городу, потому что социальная поддержка, коммунальная реформа -- все это как раз должно строиться очень адресно. Потребность такая есть. Как удовлетворить эту потребность, как организовать? Я думаю, что эти вопросы должны также быть учтены при работе с Законом по персональным данным, безусловно.

Теперь я хотел бы сказать два слова о том, что мы тоже используем сертифицированные средства защиты от несанкционированного доступа. Пока мы не поставлены перед необходимостью использовать средства, сертифицированные ФАПСИ, для того чтобы защищать информацию уже в корпоративной сети. Нет у нас пока корпоративной сети, но мы идем к этому и, безусловно, столкнемся с такой проблемой. И здесь я должен отметить, что, конечно, даже для госструктур выбор таких средств сегодня иногда не по карману, а поэтому подчас мы пытаемся выйти за счет других возможностей: усиления чисто физической охраны, работы с персоналом и так далее. Хотя это, конечно, не соответствует уже сегодняшнему уровню развития информационных процессов.

Я сказал, что состоялось решение правления, у нас сейчас есть пятилетний план развития информационной безопасности в фонде. Этому уделяется достаточно большое внимание. Сейчас в рамках подготовки к 2000 году ряд мероприятий дополнительных предусматривается.

Можно создавать закрытые системы и мы к этому стремимся и стремимся теми, характерными для сегодняшнего этапа развития информационной технологии средствами -- сочетания как техники, так и человека. То есть это не новая уже система, что касается продуктов сетевых, за границей это уже начинает проходить, но первые сетевые варианты Netware 3.12 не предусматривали возможности контроля системного администратора, то есть один человек (о какой демократии в области информатизации можно говорить), если один человек обеспечивает жизнедеятельность сети, он же и защищает информацию. Был такой период. Сейчас мы от этого уходим и стараемся всех участников защиты работы с информационными базами -- это и системный администратор, и администратор безопасности, администратор базы данных -- связать таким механизмом взаимодействующим, который бы уравновешивал возможности одного субъекта контрольными функциями других субъектов. Взаимный контроль, налаживание взаимной работы -- это тот механизм, мы считаем, который позволит нам не ссылаться на отсутствие средств, а все-таки эффективный контроль построить.

Мой отдел -- небольшой отдел, мы сейчас уже переходим к тому, что начинаем анализировать ту информацию по доступу к сети, внутреннюю информацию, которая нам позволит уже больше брать под контроль наших служащих с точки зрения оправданности доступа даже до конкретной информации, не говоря уже о защите всей базы в целом.