Каков опыт компании КРОК в области защиты персональных данных? Когда вы начали работать в этом направлении?
Михаил Башлыков: Вопросами защиты конфиденциальной информации и, в том числе, персональных данных, мы занимаемся несколько лет, направление информационной безопасности в компании действует уже более 7 лет. Поэтому с ситуацией в области защиты персональных данных знакомы достаточно хорошо. Однако лишь некоторое время назад появились требования регулирующих организаций, позволяющие перейти к практическим шагам в реализации закона. С этого момента участники рынка начали составлять планы по приведению своих информационных систем в соответствие с положениями закона и выполнению ряда задач по этой тематике.
Можно ли говорить о том, что для большинства компаний работающих с большими объемами персональных данных, проблемы, связанные со вступлением в действие закона об их защите, скорее организационные, а не технологические?
М. Б.: Это комплексная задача. В ней есть и организационные, и юридические, и технические аспекты. Другое дело, что техническая составляющая в большинстве крупных корпоративных организаций, как правило, находится на достаточно высоком уровне. Большинство средств, перечисленных в требованиях закона, уже внедрены. Нужно только построить правильную структуру, провести инвентаризацию и классификацию своих информационных систем, разработать модель угроз и определить, какие дополнительные средства необходимо внедрить и провести аттестацию (если потребуется).
Что касается юридических и организационных вопросов, тут готовность имеет гораздо меньшую степень. На них нужно обратить особое внимание, разработать соответствующие процессы, подготовить необходимые документы. Собственно говоря, без решения организационных и юридических вопросов, решать технические вопросы невозможно.
Что бы Вы порекомендовали компаниям делать сейчас, когда до начала действия закона осталось полгода, а большинство из них заявляют, что не готовы работать по новым правилам?
М. Б.: Мы общаемся с регуляторами и видим с их стороны понимание, что не всем хватит времени, чтобы привести свои системы в полное соответствие с законом. Нужно здраво подойти к общим вопросам информационной безопасности. Провести классификацию и инвентаризацию систем обработки персональных данных, понять, где эти данные обрабатываются.
Затем - внедрить организационные меры защиты, прежде всего, четко определить порядок доступа к соответствующим информационным системам. Кто имеет доступ, к какой информации, на каких основаниях и т. п. Параллельно можно внедрять технические средства защиты этой информации, сертифицированные в соответствии с требованиями закона.
Какой Вы видите ситуацию после 1 января 2010 г.? Что изменится?
М. Б.: Я думаю, в общем, ничего не изменится. Нужно понимать, что у проверяющих органов не хватит сил, чтобы отработать сразу несколько сотен тысяч заявок. Мы поддерживаем связь с представителями Роскомнадзора, на который возложена функция проверок на соответствие предприятий требованиям закона о защите персональных данных. Их точка зрения такова, что если в компании не будет явных утечек информации и информационная безопасность обеспечивается на достаточно высоком уровне, больших проблем для такого предприятия возникнуть не должно. У Роскомнадзора есть план проверок на предстоящий период, который должен быть опубликован на сайте ведомства. Заинтересованные компании могут посмотреть, находятся ли они в этом списке и соответствующим образом подготовиться.
В любом случае компаниям нужно выстроить организационные процессы и здраво подходить к вопросу обеспечения информационной безопасности. Мы рекомендуем не откладывать решение этих вопросов. Ведь, согласно требованиям закона, ряд технических средств, обрабатывающих персональные данные, должен быть сертифицирован в аккредитованных организациях, и скорее всего, в конце года в этих сертификационных лабораториях возникнут огромные очереди из желающих получить сертификаты. Могут возникнуть сложности.
В целом я хочу сказать, что проблема, безусловно, есть. Однако не стоит ее преувеличивать. Если предпринимать соответствующие шаги, выполнять определенные требования, то ничего страшного не случится. Если говорить не о том, почему этого сделать нельзя, а как это сделать можно, все вопросы будут решены.
Конференция "Персональные данные" состоится 1 октября 2009 г. в гостинице "Рэдиссон САС Славянская" по адресу: Москва, Бережковская наб., 2. (http://www.pro-id.ru/conference/adres)
Организаторами конференции "Персональные данные" выступают компания "Гротек" и МОО "Ассоциация защиты информации"
Соорганизаторы конференции:
Компания КРОК (www.croc.ru)
Компания "ИнфоТехноПроект" (www.itp-lc.ru)
Комитет по вопросам информационной безопасности
Ассоциации Предприятий Компьютерных и Информационных Технологий - АП КИТ (www.apkit.ru).
Партнеры:
Leta IT Company (www.leta.ru)
ОКБ "САПР" (www.accord.ru )
Все вопросы по конференции Вы можете задать Ирине Суриной (surina@groteck.ru)
Тел.: (495) 609 32 31 (доб.2100)