Персональные данные облачаются

Логотип компании
Персональные данные облачаются
В конце 2010 года Госдума приняла поправки в Федеральный закон «О персональных данных», согласно которым срок приведения ИС персональных данных в соответствие с требованиями продлен с 1 января до 1 июля 2011 года. Вы видите, в какой степени российские компании готовы...

В конце 2010 года Госдума приняла поправки в Федеральный закон 152-ФЗ «О персональных данных», согласно которым крайний срок приведения ИС персональных данных (ИСПДн) в соответствие с требованиями продлен с 1 января до 1 июля 2011 года. Это уже вторая отсрочка подряд: предыдущая перенесла дедлайн на целый год – с 1 января 2010 на 1 января 2011 года.

Руководитель направления защиты ПДн компании «Инфосистемы Джет» Олег Слепов уточняет, что отсрочка распространяется не на весь закон, а только на часть 3 статьи 25, которая теперь гласит, что ИСПДн, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями ФЗ не позднее 1 июля 2011 года (все остальные положения 152-го ФЗ обязательны для исполнения со дня его вступления в силу, то есть еще с 26 января 2007 года).

В последние два года пресловутый 152-ФЗ служил (как это ни парадоксально) серьезным катализатором развития рынка ИБ: по мере приближения дедлайна все больше компаний обращались за помощью к специалистам для соблюдения буквы закона. «Отсрочка стала очередным авансом для тех компаний, которые по разным причинам не начали решать проблему защиты ПДн», – отмечает Иван Бурдело, директор департамента информационной безопасности компании «Кабест» группы «Астерос». По мнению же Сергея Петренко, эксперта в области непрерывности бизнеса и ИБ компании «АйТи», каждое продление срока приведения ИСПДн в соответствие с требованиями закона приводит к нивелированию и необязательности их исполнения. Однако Максим Эмм, директор департамента аудита компании «Информзащита», убежден, что серьезного влияния на рынок ИБ очередной перенос дедлайнов не окажет, поскольку уже запланированные проекты идут своим чередом, а те, кто не собирался ничего делать и выбрал выжидательную тактику, так ничего и не делает.

«Пока штрафы за выявленные нарушения закона небольшие, а стоимость системы защиты в соответствии даже с последними ослабленными требованиями ФСТЭК и ФСБ достаточно велика, основная часть российских организаций, особенно это касается малого и среднего бизнеса, предпочтут выжидать и далее или создавать формальную защиту на бумаге», – считает Михаил Романов, директор по развитию бизнеса Stonesoft в России, СНГ и странах Балтии. По его словам, многие компании ждут принятия поправок, внесенных депутатом Госдумы Борисом Резником, после которых требования закона о персональных данных к коммерческим организациям могут стать рекомендательными.

Несущественное влияние

По оценке генерального директора компании «Код Безопасности» Александра Ширманова, 152-ФЗ оказывает положительное влияние на бизнес в сфере ИБ с 2009 года, однако скачкообразного роста в 2011 году не произойдет. Сергей Шибков, директор департамента информационной безопасности ГК «РАМЭК», связывает это с недостаточным целевым финансированием защиты ПДн, из-за которого у большинства компаний дальше запроса технико-коммерческих предложений и проведения предпроектных работ дело не двигается. Участники рынка информационной безопасности убеждены: пик активности заказчиков, когда принимались основные решения по способам и методам защиты персональных данных, выбирались платформы для систем безопасности и выделялись основные бюджеты на инициацию проектов, остался позади.

Судя по всему, не стоит ожидать и какого-то значительного технологического прогресса в этой области, поскольку рынок уже насыщен множеством доступных и надежных решений. «Мы, как производитель средств защиты, уже сделали все возможное, чтобы предложить рынку функциональное, недорогое и сертифицированное решение, соответствующее всем требованиям защиты ИСПДн самого высокого первого класса и тем самым максимально снизить их риски», – констатирует Михаил Романов (Stonesoft).

И все же хочется надеяться, что новая отсрочка окажет некоторое влияние на рынок информационной безопасности. По мнению Олега Слепова («Инфосистемы Джет»), следует ожидать изменения формы реализации проектов в области защиты персональных данных: перенос сроков дает возможность подойти к их выполнению спокойно, тщательно и без спешки. Это можно рассматривать и как положительный, и как отрицательный момент, поскольку приостановка приведет к потере темпа реализации проектов и устареванию технических решений, что в дальнейшем может потребовать внесения дополнительных корректив как в корпоративные системы безопасности, так и в сам закон.

Проверка на пороге

Определение «оператор персональных данных» применимо практически ко всем организациям, ведущим хозяйственную деятельность на территории России: даже просто наличие кадрового и бухгалтерского делопроизводства уже указывает на то, что они подпадают под действие указанного закона. Однако участники рынка ИБ оценивают уровень соответствия российских компаний требованиям 152-ФЗ как крайне низкий. По словам Александра Санина, заместителя руководителя направления аудита и консалтинга департамента продуктов и услуг компании LETA, более 75% операторов персональных данных еще даже не приступили к их выполнению, то есть не сделали для защиты ПДн ровным счетом ничего, и во многом это связано с форсированием событий на государственном уровне. «Вся сфера информационной безопасности в стране развивается исключительно под давлением законодательства, а это не правильно», - подчеркивает Александр Санин.

К причинам несоответствия российских компаний требованиям по защите персональных данных Александр Ширманов («Код Безопасности») относит сложность 152-ФЗ. «С учетом постоянно вносящихся поправок, изменений и замен в законодательную базу соблюсти все, что необходимо, крайне сложно, поэтому российские организации идут по пути минимизации затрат на защиту», - констатирует Алексей Филатенков, начальник отдела информационной безопасности компании «Открытые Технологии».

Неутешительные перспективы

По прогнозам Алексея Демина, управляющего продажами в корпоративном сегменте компании G Data Software в России и СНГ, несмотря на отсрочки, большая часть российских «операторов персональных данных» к моменту вступления в силу части закона, касающейся ИСПДн, окажутся неготовыми к ее нормам. «В России отсутствует как таковая культура работы с персональными данными, а между тем любая утечка это прежде всего проблема социальная, нежели техническая, то есть решить ее исключительно техническими методами невозможно в принципе», – убежден Алексей.

Александр Ширманов («Код Безопасности») отмечает, что, как и все новое, рынок воспринимает 152-ФЗ неодинаково: первыми к его исполнению подключаются «энтузиасты», потом «раннее большинство», а уж следом за ними идут скептики-консерваторы. В 2009-2010 годах безопасность ИСПДн внедряли те компании-энтузиасты, которые были убеждены, что закон все равно не отменят, поэтому выполнять его требования рано или поздно придется. В 2011-м, по прогнозам Александра Ширманова, требуемый уровень защиты персональных данных реализуют 40% всех крупных организаций, включая банки, страховые компании и государственный сектор, и еще 40% составят компании-консерваторы, которые будут заниматься этим в 2012-13 годах, наблюдая за действиями регуляторов и развитием законодательства.

Работа над ошибками

По оценке Алексея Филатенкова («Открытые Технологии»), логически не увязанная по вертикали и горизонтали российская правовая и нормативно-методическая база в сфере информационной безопасности с принятием 152-ФЗ показала всю свою несостоятельность. «Выполнение ряда требований “в лоб” может привести к остановке некоторых бизнес-процессов», – предостерегает Олег Слепов («Инфосистемы Джет»). При этом концепция государственного регулирования не изменилась даже после высказанного общественностью мнения о недостаточной проработке закона. Алексей Филатенков связывает это с отсутствием квалифицированных специалистов в области защиты персональных данных на государственной службе, а также экспертизы издаваемых документов.

В конце 2010 года Совет Федерации на пленарном заседании постановил, что сам по себе перенос сроков не позволит улучшить ситуацию с правовым регулированием в сфере обработки персональных данных, которое нуждается в серьезной доработке. По мнению Максима Эмма («Информзащита»), в первую очередь нужно менять сам подход к определению ответственности за нарушения в данной области: она должна наступать не за то, что не выполнены какие то формальные требования по защите, а за факты утечки и нарушения прав субъектов ПДн, и чем больше масштаб ущерба, тем серьезнее должно быть взыскание. Алексей Демин (G Data Software) добавляет к этому необходимость обеспечения правовой защиты пострадавших, чтобы они получили реальную возможность отстаивать свои права в суде. При этом форма заключения согласия об обработке персональных данных, по мнению Олега Слепова («Инфосистемы Джет»), должна выбираться по обоюдному согласию субъекта и оператора: это может быть как договор, оферта которого предлагается оператором, так и соглашение в устной форме. «Работы по совершенствованию законодательства еще достаточно, но главное – как можно прозрачнее обозначить требования и критерии их выполнения, чтобы упростить создание соответствующих им систем защиты», – добавляет Михаил Романов (Stonesoft).

Сергей Петренко,

эксперт в области непрерывности бизнеса и ИБ компании «АйТи»:

«К проверкам на соответствие 152-ФЗ готовы только единичные компании: сказываются законодательные отсрочки, не завершающиеся дискуссии о несовершенстве требований и средств защиты, нехватка бюджетов на построение защиты, а также традиционная российская вера в авось».

Михаил Романов,

директор по развитию бизнеса Stonesoft в России, СНГ и странах Балтии:

«Многие организации еще не готовы к проверкам регуляторов, так как любая система защиты это не просто установка оборудования и ПО, а целый процесс, а внедрение любых процессов в деятельность организации занимает годы».

Читайте также
Как установить на iOS приложения российских банков? Если на Android проблема решается в два свайпа, то на iOS придется сделать чуть больше движений. IT-World узнал, каких именно.

Олег Слепов,

руководитель направления защиты ПДн компании «Инфосистемы Джет»:

«Защита персональных данных неотъемлемая часть общей системы безопасности. И если она развита хорошо, то и с конфиденциальностью персональных данных у компании проблем не будет».

Сергей Шибков,

директор департамента информационной безопасности ГК «РАМЭК»:

«Пока что большинство операторов персональных данных, как и прежде, занимают выжидательную позицию, но во втором квартале 2011 года спрос на соответствующие системы защиты может возрасти».

Александр Ширманов,

генеральный директор компании «Код Безопасности»:

«Выбор средств защиты персональных данных сильно зависит от специфики конкретной компании, поэтому я советую в каждом конкретном случае консультироваться с юристом и с интегратором».

Максим Эмм,

директор департамента аудита компании «Информзащита»:

«Уровень соответствия 152-ФЗ в разных сегментах неравномерен: банки, например, опережают по уровню готовности образовательные или медицинские учреждения».

Смотреть все статьи по теме "Информационная безопасность"

Источник: IT News №5 (март 2011 года)

Опубликовано 31.03.2011

Похожие статьи