О защите персональных данных и ФЗ № 152. Ответы на вопросы BFM.ru
01 июля 2011 г. вступили в силу все положения федерального закона № 152 «О персональных данных». Подготовка к этому событию вызвала достаточно бурные обсуждения в СМИ. Нам поступили, в частности, вопросы от редакции делового портала BFM.ru.
Как вы оцениваете состояние российского рынка средств защиты персональных данных - выполняют ли операторы требования закона или нет, что им для этого необходимо?
Думаю, что определенная группа крупных компаний — операторов персональных данных (а в категорию операторов ПД попадает практически любая организация - информация о сотрудниках является персональными данными) уже разобрались с требованиями законодательства и используют средства защиты ПД. Даже, если эти компании сейчас не полностью соответствуют требованиям законодательства, то вполне готовы к тому, чтобы быстро доработать свои системы так, чтобы они полностью соответствовали требованиям закона.
Почему сейчас не соответствуют? Потому что неоднократный перенос сроков проверок притупил бдительность и боязнь ответственности. Все ждут — будут ли проверки. Если будут — быстро все сделают.
Чтобы соответствовать ФЗ152 по защите ПД нужно создать комплекс организационно-технических мер по обеспечению защищенности обработки персональных данных.
Организационные меры включают, во-первых, то, что все сотрудники, участвующие в обработке персональных данных должны быть ознакомлены, что они несут ответственность за утечки, разглашения и т. д. Также должен быть построен соответствующим образом документооборот, включая правила хранения бумажных копий.
Что касается технические мер, то они связаны с обеспечением информационной безопасности. Во-первых, доступ пользователей информационных систем к тем разделам, в которых хранятся и обрабатываются персональные данные должен быть защищен по российским стандартам, с использованием российских алгоритмов криптозащиты. В принципе, задача вполне выполнимая — надо взять и сделать. Тем более, что требования российского закона во многом совпадают с международными нормами и правилами. И все организации, которые так или иначе задумывались о вопросах, связанных с ИБ, знакомы со всеми аспектами этих требований.
В чем заключаются основные проблемы, с которыми сталкиваются операторы ПД?
Во-первых, практически все становятся операторами персональных данных и, думаю, что для целого ряда организаций это стало полной неожиданностью.
Во-вторых, по закону требуется реальная полноценная защита данных, что приводит к соответствующим затратам. Предприятие должно вложить определенную сумму денег, чтобы эту защиту обеспечить. Просто «на бумаге» защиту обеспечить нельзя. Надо заниматься этим всерьез и это проект, который займет два-три месяца. Надо создать нормативную базу — подготовить регламенты и процедуры, приобрести технические средства, установить их и т. д. Или надо покупать это как услугу защищенной обработки персональных данных и ИТ-аутсорсера, но все равно это займет хоть и меньше, но все-таки определенное время — месяц, хотя бы.
И еще существенная проблема. Если исполнения закона станет неизбежным и всем придется потратиться на обеспечение защиты, то одна из технических проблем, который придется решать уже на этапе создания системы защиты состоит в следующем. Конечно же информационная система предприятия лишь в небольшой своей части содержит ПД. И лишь небольшая часть пользователей информационной системы предприятия участвует в обработке ПД. Большая часть пользователей не нуждается в доступе к персональным данным. Естественно, было бы дешевле и разумней защищать только тот участок, который связан с обработкой ПД. И нужно будет продумывать технологические решения, которые позволяет разделить эти зоны и уменьшить контур защищаемой информации. Это позволит сэкономить, но потребует реализации определенных технических решений.
Ответы опубликованы в материале "Закон «О персональных данных» перепишут в очередной раз" делового портала BFM.ru