Рекомендации круглого стола по Федеральному закону о едином федеральном информационном регистре с данными жителей России.
В Государственной Думе в 3-м чтении принят закон об едином регистре населения, который объединит все сведения, собранные ведомствами о лицах, находящихся на территории РФ.
Обращает на себя внимает, что законопроект был одобрен без предварительного серьезного обсуждения, экспертных слушаний, а день принятия закона в 3-м чтении совпал с рассмотрением пакета законов о поддержке в связи с пандемией.
Ранее ФСБ России дала отрицательное заключение на аналогичный проект закона «О цифровом профиле населения», отметив связанные с ним риски.
К числу угроз использования единого регистра данных жителей РФ относится следующее:
1. В настоящий момент все существующие системы управления базами данных (СУБД) имеют низкий уровень защиты. Несмотря на то, что в каждой СУБД уже есть собственная система безопасности, как правило, она не используется полностью, т.к. реализуется на уровне интерфейса конечного пользователя. Это связано с различиями операций при работе с данными и их хранении – невозможно правильно установить права доступа к данным таблицах так, чтобы они соответствовали логистике процессов. По сути, тот, кто создавал ядро программы для базы данных обладает правами администратора при работе с ней. Администратор СУБД всегда имеет полный доступ ко всему массиву данных и ему ничто не мешает их скопировать.
2. Кроме того, взломщики баз данных используют так называемые SQL инъекции – специальные запросы, нацеленные на взлом системы, что делает любую электронную базу данных уязвимой.
3. Отечественное ПО не решат проблемы защищенности СУБД, т.к. самая популярная «российская» СУБД – PostgreSQL, правообладателем которой является Университет Беркли, США. Помимо этого, в процессе обработки данных участвуют следующие составляющие:
- материнская плата с процессором + BIOS + периферия;
- операционная система: программная оболочка, позволяющая взаимодействовать с железом с помощью специального набора команд (API).
- программная платформа.
В России нет компаний, способных в широком масштабе обеспечить всех граждан страны, а также юридических лиц и госорганами вышеперечисленными устройствами и высокотехнологичными продуктами в достаточном количеством и надлежащего качества.
Законопроект производит впечатление сырого и недоработанного.
Участники круглого стола рекомендуют:
- Выступить за отсрочку подписания Законопроекта № 759897-7 «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» Президентом РФ до того момента, когда будет создана реальная технологическая независимость от соответствующей продукции иностранных государств.
- Обратиться к Президенту РФ с просьбой внести в законопроект поправки (т.к. на предыдущих этапах не проводилось экспертных слушаний по данному законопроекту) касающиеся обязанности создавать и вводить в эксплуатацию единый реестр только на отечественном ПО, СУБД, программной платформе, операционной системе и компьютерном оборудовании.
- Передать функции ведения Регистра от Министерства по налогам и сборам Министерству связи, так как в соответствие с федеральным законом о налоговых органах данная функция на налоговые органы не возложена, создает угрозу ряда злоупотреблений, например взыскания спорных налогов и сборов во внесудебном порядке.
- Обеспечить каждого гражданина электронным ключом доступа к информации о нем или лицами, законным представителем он является, находящейся в Регистре.
- Предусмотреть сохранение в Регистре сведений о том, кто, когда и с какой целью запросил информацию о гражданине.
- Предусмотреть право каждого гражданина или организации на предоставление сведений из Регистра в обезличенном порядке.
- Предусмотреть право органов прокуратуры, следствия и дознания получать информацию, если не возбуждено уголовное дело, только на основании судебного решения.
- Предусмотреть в Регистре населения регистрацию причины смерти, о месте захоронения гражданина, неопознанных трупах.
- Предусмотреть возможность получения неопределенному кругу лиц из Регистра информации о месте проживания гражданина в случае его согласия на раскрытие таких данных (по аналогу с той, которую советский период предоставляли справочные киоски).
- Предусмотреть в законе всесторонний общественный контроль за формированием и использованием базы данных.
- Предусмотреть механизм исправления человеком сведений о неточностях и ошибках в информации о себе.
- Использовать для хранения данных отечественные сервера, защищенные от проникновения со стороны иностранных организаций.
- На данном этапе развития Регистра исключить возможность его подключения к аналогичным регистрам других стран, предусмотреть порядка обмена информации между регистрами.
Journal information