Закон о персональных данных надо выполнять

Сейчас ряд организаций выступает за перенесение сроков приведения информационных систем операторов в соответствие с законом на более поздние сроки. Их аргументы таковы: во-первых, объем работ довольно значителен, во-вторых, требует серьезных денежных средств (стоимость только первого этапа проекта создания системы безопасности, соответствующей требованиям 152-ФЗ,  может достигать 1 млн. руб.).

Директор департамента развития LETA IT-company Вениамин Левцов пояснил, что перед законодателями вовсе не стоит задача «убить бизнес в России». Поэтому жесткого требования выполнить к 1 января 2010 года все работы по приведению информационных систем в соответствие с законом 152-ФЗ нет. Тем не менее, такие проекты нужно начинать уже сейчас. Тем более, что нормативные акты уже выпущены, понятно с чего начинать и куда двигаться. 

Для начала «необходимо пересмотреть стратегию информационной безопасности компании, оценить, что можно сделать в первую очередь и не за самые большие деньги: например, заменить несертифицированное антивирусное ПО сертифицированным, то же с со средствами шифрования, межсетевого экранирования и так далее», - посоветовал г-н Левцов. Что касается технических средств, то должны использоваться лишь сертифицированные, которые занесены в соответствующий реестр. Однако в фокусе проверок окажутся не столько технические средства, сколько административные мероприятия: как в компании организована работа с персональными данными. В стратегии нужно все мероприятия распланировать с указанием сроков исполнения, даже если проект растянется на 1-2 года. Также не лишне будет подготовиться к визиту проверяющих из Роскомнадзора: показать пришедшим, что уже сделано, рассказать о дальнейших планах, то есть диалог с аудиторами вполне возможен. Действующая нормативная база во многих случаях позволяет обоснованно упростить процедуры взаимодействия с контролирующими организациями и сократить внедрение дополнительных механизмов защиты, а это существенно удешевляет решение. Главное - следовать концепции добросовестного исполнения закона. 

Создание систем защиты персональных данных существенно отличается от уже знакомой российским организациям практики решения вопросов информационной беззопасности. В частности, нормативная база регламентирует: требования к системам защиты персональных даннах, взаимодействие с регулирующими органами, использование тех или иных программно-технических средств, а также ответственность за несоблюдение этих требований. Для большинства компаний все это практически исключает возможность самостоятельно разобраться в проблеме. 

Внешние консалтинговые компании могут помочь правильному категорированию парсональных данных, что важно на раннем этапе проекта. Представители LETA IT-company считают, что плановые проверки начнутся, скорее всего, со страховых компаний и турфирм, предприятий ЖКХ. Вместе с тем, приоритетная область применения закона - финансовая информация и информация о здоровье граждан. В настоящее время большая часть проверок производится по просьбе конкретных физических лиц, подавших в Роскомнадзор соответствующее заявление. По всей вероятности из-за огромного количества учреждений, чьи системы подлежат обязательному аудиту, плановые проверки одномоментно проводиться не будут. 

Вениамин Левцов высказал предположение, что в ближайшие два-три года уже принятые законы будут проходить процесс адаптации к существующим реалиям. По его словам, вероятнее всего, это начнется с банковской сферы. Сейчас, даже при несоответствии процессов оперирования персональными данными требованиям 152-ФЗ, лицензию о банка может отозвать только Центробанк, Роскомнадзор здесь бессилен. Вполне возможно, что в ближайшие годы компании и предприятия различных отраслей создадут ассоциации, разработают отраслевые стандарты безопасности, и таким образом облегчат себе путь приведения своих систем в соответствие 152-ФЗ. Но всё это в будущем, а сейчас всё большее число компаний проявляют озабоченность в связи с предстоящими аудиторскими проверками. 

21.04.2009 Решение Oracle по управлению правами доступа к данным прошло сертификацию Федеральной службы по техническому и экспортному контролю (ФСТЭК) России

20.04.2009 Check Point завершил приобретение бизнеса Nokia по обеспечению безопасности  

16.04.2009 Компания Koodoo Technologies приняла участие в годовом собрании МОО «Ассоциация защиты информации»