В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
Срок вступления в силу закона "О защите персональных данных" был в очередной раз перенесен. На этот раз на полгода. Но с таким же успехом можно было отложить его еще на год или два. Рынок буквально застыл в ожидании 1 июля 2011 г. и возможной новой редакции закона. К нынешнему лету существенно ничего не изменится. Российские операторы персональных данных просто физически не готовы к такого рода нагрузкам. И еще довольно продолжительное время в массе своей готовы не будут.
Неготовность эта прежде всего выражается в отсутствии дополнительных средств, которые можно было бы направить на оплату требуемых законом мероприятий. Их попросту нет в бюджетах. Негатива добавили и свежие изменения в налоговом законодательстве, значительно увеличившие налоговую нагрузку на основную массу операторов персональных данных. С этим связана и явная нехватка квалифицированных специалистов, способных обеспечить выполнение требований закона. Их и так немного, а с 1 января 2011 г. специалисты стали еще и дороже. Очевидно, что предложение на рынке услуг по "приведению в соответствие" значительно превысит спрос. И мы опять упираемся в сложности с финансированием. Большая часть компаний не сможет позволить себе ни иметь такого специалиста в своем штате, ни привлечь его со стороны.
На рынке будут предлагаться реальные решения по организации защиты персональных данных от утечек и хищений, но гарантированно появятся (впрочем, здесь можно говорить уже в настоящем времени) и услуги, позволяющие "решить вопрос". Желание воспользоваться такого рода услугами может быть обусловлено, кроме возможности сэкономить, еще и тем, что многим операторам персональных данных для выполнения всех требований закона придется серьезно изменить свои бизнес-процессы. Немногие будут согласны с необходимостью вынужденных изменений, хотя уже сами по себе такие изменения способны обеспечить хорошие результаты.
Совершенно очевидно, что рынок ждет даже не очередного переноса сроков вступления в силу закона, а качественных изменений в нем, а лучше – и того и другого. То, что мы имеем на сегодняшний день, это скорее уровень бритья боярских бород и переодевания их в европейское платье, чем реальные изменения. Делать это вроде надо, но начать бы надо с другой стороны. До тех пор пока гражданин России не получит реально действующий инструмент защиты прав на неприкосновенность частной жизни, а операторы не будут отвечать за сохранность этих данных по судебным искам, все это будет очередной акцией в сторону мирового сообщества. Оператору будет выгоднее заниматься не реальной защитой персональных данных, а имитацией этой защиты с оформлением документов в соответствии с требованиями закона. А если персональные данные "утекут", но все документы были в порядке, то никто ни за что не отвечает, виновных нет, а как это произошло, никому не ведомо. Уже в который раз.
Если мы посмотрим, какова ситуация с утечкой данных на Западе, то там к наказанию нарушителей подходят намного серьезнее. Так, например, в одной южноафриканской страховой компании произошла крупная утечка персональных данных. Регулятор – Минфин Великобритании – тут же выписал провинившемуся страховщику большой штраф.
Потом сумма была несколько уменьшена, но только потому, что страховая компания немедленно согласилась его выплатить. У нас же штрафы и другие наказания за несоблюдение требований законодательства о персональных данных носят символический характер. С помощью этого примера я говорю не о необходимости ужесточать наказание правонарушителей по примеру западных стран, а о внедрении механизмов, которые будут направлены на реальное предотвращение утечек персональных данных, а не на получение соответствующей отчетности на бумаге.
Еще одним важным моментом можно назвать расходы на обеспечение контроля выполнения требований норм закона. Здесь потребуется значительно увеличить штат проверяющих, контролирующих и других важных организаций, но вот где взять квалифицированных специалистов в требуемом количестве, если их нет даже в бизнесе, где уровень зарплат выше. Вопросов все еще больше, чем ответов. Или проверки на местах, образно говоря, сведутся к элементарной сверке списка необходимых документов с имеющимися в наличии? Такой исход, к сожалению, очень вероятен.
С момента окончательного вступления закона в силу операторы будут вынуждены лавировать между этим законом и реальностью, что, вероятнее всего, приведет к решениям, не предусмотренным нормами этого закона напрямую, но и не противоречащим законодательству в принципе. Российский бизнес будет вынужден применять уже традиционную для него смекалку. И такие нестандартные решения уже сегодня просматриваются.
С момента вступления в силу основных положений 152-ФЗ "О персональных данных", а это 26 января 2007 г., изменилось немногое. До настоящего момента так и не появилось единого понимания требований закона и подзаконных актов. По-прежнему большинство операторов персональных данных не могут сориентироваться в большом объеме нормативных документов. В результате со стороны руководящего состава компаний отсутствует осознание необходимости внедрения качественных средств защиты информации. Как результат, деньги из бюджетов не выделяются или выделяются в недостаточном объеме.
В связи с очередным продлением сроков приведения информационных систем персональных данных (ИСПДн) в соответствие с требованиями большинство организаций замерло в ожидании – будет еще один перенос сроков или же за отведенный период все-таки внесут соответствующие правки в документацию? Многие российские операторы персональных данных стали говорить о том, что регулирование в области персональных данных настолько запутанное, что наиболее правильным решением будет ожидание до тех пор, пока ситуация сама собой не придет в норму.
Сложность заключается также и в том, что не все производители средств защиты информации могут позволить себе дорогостоящий и длительный процесс сертификации. Вместе с тем компания ESET стала первой среди разработчиков антивирусных программных решений, кто получил сертификат соответствия ФСТЭК России на продукт ESET NOD32 Platinum Pack, который может использоваться в ИСПДн до 1-го класса включительно.
Но нельзя не замечать и положительные тенденции – с начала 2009 г. как государственные, так и коммерческие организации озаботились вопросом информационной безопасности и сохранности данных на предприятии. Появились специализированные курсы, организовываются регулярные тематические выставки и семинары, посвященные проблематике законодательства в части обеспечения реально высокого уровня защищенности прав и интересов субъектов персональных данных. Благодаря подобным мероприятиям повышается осведомленность и квалификация специалистов по ИБ как со стороны представителей заказчиков, так и со стороны системных интеграторов.
Остается ждать, надеяться и верить в то, что со временем операторы персональных данных получат ответ на все свои вопросы в части требований к ИСПДн, степень зрелости российских компаний достигнет достаточного уровня для внедрения качественных систем защиты конфиденциальной информации, в том числе персональных данных. А со стороны отечественных законодателей и регуляторов в конечном счете появится новый документ с адекватными целями, задачами и методами их решения.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2011