Персональные данные облачаются
В конце 2010 года Госдума приняла поправки в Федеральный закон 152-ФЗ «О персональных данных», согласно которым крайний срок приведения ИС персональных данных (ИСПДн) в соответствие с требованиями продлен с 1 января до 1 июля 2011 года. Это уже вторая отсрочка подряд: предыдущая перенесла дедлайн на целый год – с 1 января 2010 на 1 января 2011 года.
Руководитель направления защиты ПДн компании «Инфосистемы Джет» Олег Слепов уточняет, что отсрочка распространяется не на весь закон, а только на часть 3 статьи 25, которая теперь гласит, что ИСПДн, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями ФЗ не позднее 1 июля 2011 года (все остальные положения 152-го ФЗ обязательны для исполнения со дня его вступления в силу, то есть еще с 26 января 2007 года).
В последние два года пресловутый 152-ФЗ служил (как это ни парадоксально) серьезным катализатором развития рынка ИБ: по мере приближения дедлайна все больше компаний обращались за помощью к специалистам для соблюдения буквы закона. «Отсрочка стала очередным авансом для тех компаний, которые по разным причинам не начали решать проблему защиты ПДн», – отмечает Иван Бурдело, директор департамента информационной безопасности компании «Кабест» группы «Астерос». По мнению же Сергея Петренко, эксперта в области непрерывности бизнеса и ИБ компании «АйТи», каждое продление срока приведения ИСПДн в соответствие с требованиями закона приводит к нивелированию и необязательности их исполнения. Однако Максим Эмм, директор департамента аудита компании «Информзащита», убежден, что серьезного влияния на рынок ИБ очередной перенос дедлайнов не окажет, поскольку уже запланированные проекты идут своим чередом, а те, кто не собирался ничего делать и выбрал выжидательную тактику, так ничего и не делает.
«Пока штрафы за выявленные нарушения закона небольшие, а стоимость системы защиты в соответствии даже с последними ослабленными требованиями ФСТЭК и ФСБ достаточно велика, основная часть российских организаций, особенно это касается малого и среднего бизнеса, предпочтут выжидать и далее или создавать формальную защиту на бумаге», – считает Михаил Романов, директор по развитию бизнеса Stonesoft в России, СНГ и странах Балтии. По его словам, многие компании ждут принятия поправок, внесенных депутатом Госдумы Борисом Резником, после которых требования закона о персональных данных к коммерческим организациям могут стать рекомендательными.
Несущественное влияние
По оценке генерального директора компании «Код Безопасности» Александра Ширманова, 152-ФЗ оказывает положительное влияние на бизнес в сфере ИБ с 2009 года, однако скачкообразного роста в 2011 году не произойдет. Сергей Шибков, директор департамента информационной безопасности ГК «РАМЭК», связывает это с недостаточным целевым финансированием защиты ПДн, из-за которого у большинства компаний дальше запроса технико-коммерческих предложений и проведения предпроектных работ дело не двигается. Участники рынка информационной безопасности убеждены: пик активности заказчиков, когда принимались основные решения по способам и методам защиты персональных данных, выбирались платформы для систем безопасности и выделялись основные бюджеты на инициацию проектов, остался позади.
Судя по всему, не стоит ожидать и какого-то значительного технологического прогресса в этой области, поскольку рынок уже насыщен множеством доступных и надежных решений. «Мы, как производитель средств защиты, уже сделали все возможное, чтобы предложить рынку функциональное, недорогое и сертифицированное решение, соответствующее всем требованиям защиты ИСПДн самого высокого первого класса и тем самым максимально снизить их риски», – констатирует Михаил Романов (Stonesoft).
И все же хочется надеяться, что новая отсрочка окажет некоторое влияние на рынок информационной безопасности. По мнению Олега Слепова («Инфосистемы Джет»), следует ожидать изменения формы реализации проектов в области защиты персональных данных: перенос сроков дает возможность подойти к их выполнению спокойно, тщательно и без спешки. Это можно рассматривать и как положительный, и как отрицательный момент, поскольку приостановка приведет к потере темпа реализации проектов и устареванию технических решений, что в дальнейшем может потребовать внесения дополнительных корректив как в корпоративные системы безопасности, так и в сам закон.
Проверка на пороге
Определение «оператор персональных данных» применимо практически ко всем организациям, ведущим хозяйственную деятельность на территории России: даже просто наличие кадрового и бухгалтерского делопроизводства уже указывает на то, что они подпадают под действие указанного закона. Однако участники рынка ИБ оценивают уровень соответствия российских компаний требованиям 152-ФЗ как крайне низкий. По словам Александра Санина, заместителя руководителя направления аудита и консалтинга департамента продуктов и услуг компании LETA, более 75% операторов персональных данных еще даже не приступили к их выполнению, то есть не сделали для защиты ПДн ровным счетом ничего, и во многом это связано с форсированием событий на государственном уровне. «Вся сфера информационной безопасности в стране развивается исключительно под давлением законодательства, а это не правильно», - подчеркивает Александр Санин.
К причинам несоответствия российских компаний требованиям по защите персональных данных Александр Ширманов («Код Безопасности») относит сложность 152-ФЗ. «С учетом постоянно вносящихся поправок, изменений и замен в законодательную базу соблюсти все, что необходимо, крайне сложно, поэтому российские организации идут по пути минимизации затрат на защиту», - констатирует Алексей Филатенков, начальник отдела информационной безопасности компании «Открытые Технологии».
Неутешительные перспективы
По прогнозам Алексея Демина, управляющего продажами в корпоративном сегменте компании G Data Software в России и СНГ, несмотря на отсрочки, большая часть российских «операторов персональных данных» к моменту вступления в силу части закона, касающейся ИСПДн, окажутся неготовыми к ее нормам. «В России отсутствует как таковая культура работы с персональными данными, а между тем любая утечка это прежде всего проблема социальная, нежели техническая, то есть решить ее исключительно техническими методами невозможно в принципе», – убежден Алексей.
Александр Ширманов («Код Безопасности») отмечает, что, как и все новое, рынок воспринимает 152-ФЗ неодинаково: первыми к его исполнению подключаются «энтузиасты», потом «раннее большинство», а уж следом за ними идут скептики-консерваторы. В 2009-2010 годах безопасность ИСПДн внедряли те компании-энтузиасты, которые были убеждены, что закон все равно не отменят, поэтому выполнять его требования рано или поздно придется. В 2011-м, по прогнозам Александра Ширманова, требуемый уровень защиты персональных данных реализуют 40% всех крупных организаций, включая банки, страховые компании и государственный сектор, и еще 40% составят компании-консерваторы, которые будут заниматься этим в 2012-13 годах, наблюдая за действиями регуляторов и развитием законодательства.
Работа над ошибками
По оценке Алексея Филатенкова («Открытые Технологии»), логически не увязанная по вертикали и горизонтали российская правовая и нормативно-методическая база в сфере информационной безопасности с принятием 152-ФЗ показала всю свою несостоятельность. «Выполнение ряда требований “в лоб” может привести к остановке некоторых бизнес-процессов», – предостерегает Олег Слепов («Инфосистемы Джет»). При этом концепция государственного регулирования не изменилась даже после высказанного общественностью мнения о недостаточной проработке закона. Алексей Филатенков связывает это с отсутствием квалифицированных специалистов в области защиты персональных данных на государственной службе, а также экспертизы издаваемых документов.
В конце 2010 года Совет Федерации на пленарном заседании постановил, что сам по себе перенос сроков не позволит улучшить ситуацию с правовым регулированием в сфере обработки персональных данных, которое нуждается в серьезной доработке. По мнению Максима Эмма («Информзащита»), в первую очередь нужно менять сам подход к определению ответственности за нарушения в данной области: она должна наступать не за то, что не выполнены какие то формальные требования по защите, а за факты утечки и нарушения прав субъектов ПДн, и чем больше масштаб ущерба, тем серьезнее должно быть взыскание. Алексей Демин (G Data Software) добавляет к этому необходимость обеспечения правовой защиты пострадавших, чтобы они получили реальную возможность отстаивать свои права в суде. При этом форма заключения согласия об обработке персональных данных, по мнению Олега Слепова («Инфосистемы Джет»), должна выбираться по обоюдному согласию субъекта и оператора: это может быть как договор, оферта которого предлагается оператором, так и соглашение в устной форме. «Работы по совершенствованию законодательства еще достаточно, но главное – как можно прозрачнее обозначить требования и критерии их выполнения, чтобы упростить создание соответствующих им систем защиты», – добавляет Михаил Романов (Stonesoft).
Сергей Петренко,
эксперт в области непрерывности бизнеса и ИБ компании «АйТи»:
«К проверкам на соответствие 152-ФЗ готовы только единичные компании: сказываются законодательные отсрочки, не завершающиеся дискуссии о несовершенстве требований и средств защиты, нехватка бюджетов на построение защиты, а также традиционная российская вера в авось».
Михаил Романов,
директор по развитию бизнеса Stonesoft в России, СНГ и странах Балтии:
«Многие организации еще не готовы к проверкам регуляторов, так как любая система защиты это не просто установка оборудования и ПО, а целый процесс, а внедрение любых процессов в деятельность организации занимает годы».
Олег Слепов,
руководитель направления защиты ПДн компании «Инфосистемы Джет»:
«Защита персональных данных неотъемлемая часть общей системы безопасности. И если она развита хорошо, то и с конфиденциальностью персональных данных у компании проблем не будет».
Сергей Шибков,
директор департамента информационной безопасности ГК «РАМЭК»:
«Пока что большинство операторов персональных данных, как и прежде, занимают выжидательную позицию, но во втором квартале 2011 года спрос на соответствующие системы защиты может возрасти».
Александр Ширманов,
генеральный директор компании «Код Безопасности»:
«Выбор средств защиты персональных данных сильно зависит от специфики конкретной компании, поэтому я советую в каждом конкретном случае консультироваться с юристом и с интегратором».
Максим Эмм,
директор департамента аудита компании «Информзащита»:
«Уровень соответствия 152-ФЗ в разных сегментах неравномерен: банки, например, опережают по уровню готовности образовательные или медицинские учреждения».
Источник: IT News №5 (март 2011 года)
Опубликовано 31.03.2011