Закон о персональных данных надо выполнять

23 апреля 2009 года в Москве представители компании LETA IT-company провели пресс-конференцию, посвященную вопросам защиты персональных данных. В соответствии с федеральным законом 152-ФЗ «О персональных данных» не позднее января 2010 года должны пройти аудит информационные системы как коммерческих структур - банков, сотовых операторов, так и базы данных государственных и муниципальных организаций, школ, поликлиник ДЭЗов. Все эти организации названы «операторами» - так как оперируют персональными данными. По данным Роскомнадзора, в России информационных систем, в которых хранятся персональные данные насчитывается более 46 тысяч.
Сейчас ряд организаций выступает за перенесение сроков приведения информационных систем операторов в соответствие с законом на более поздние сроки. Их аргументы таковы: во-первых, объем работ довольно значителен, во-вторых, требует серьезных денежных средств (стоимость только первого этапа проекта создания системы безопасности, соответствующей требованиям 152-ФЗ,  может достигать 1 млн. руб.).

Директор департамента развития LETA IT-company Вениамин Левцов пояснил, что перед законодателями вовсе не стоит задача «убить бизнес в России». Поэтому жесткого требования выполнить к 1 января 2010 года все работы по приведению информационных систем в соответствие с законом 152-ФЗ нет. Тем не менее, такие проекты нужно начинать уже сейчас. Тем более, что нормативные акты уже выпущены, понятно с чего начинать и куда двигаться. 

Для начала «необходимо пересмотреть стратегию информационной безопасности компании, оценить, что можно сделать в первую очередь и не за самые большие деньги: например, заменить несертифицированное антивирусное ПО сертифицированным, то же с со средствами шифрования, межсетевого экранирования и так далее», - посоветовал г-н Левцов. Что касается технических средств, то должны использоваться лишь сертифицированные, которые занесены в соответствующий реестр. Однако в фокусе проверок окажутся не столько технические средства, сколько административные мероприятия: как в компании организована работа с персональными данными. В стратегии нужно все мероприятия распланировать с указанием сроков исполнения, даже если проект растянется на 1-2 года. Также не лишне будет подготовиться к визиту проверяющих из Роскомнадзора: показать пришедшим, что уже сделано, рассказать о дальнейших планах, то есть диалог с аудиторами вполне возможен. Действующая нормативная база во многих случаях позволяет обоснованно упростить процедуры взаимодействия с контролирующими организациями и сократить внедрение дополнительных механизмов защиты, а это существенно удешевляет решение. Главное - следовать концепции добросовестного исполнения закона. 

Создание систем защиты персональных данных существенно отличается от уже знакомой российским организациям практики решения вопросов информационной беззопасности. В частности, нормативная база регламентирует: требования к системам защиты персональных даннах, взаимодействие с регулирующими органами, использование тех или иных программно-технических средств, а также ответственность за несоблюдение этих требований. Для большинства компаний все это практически исключает возможность самостоятельно разобраться в проблеме. 

Внешние консалтинговые компании могут помочь правильному категорированию парсональных данных, что важно на раннем этапе проекта. Представители LETA IT-company считают, что плановые проверки начнутся, скорее всего, со страховых компаний и турфирм, предприятий ЖКХ. Вместе с тем, приоритетная область применения закона - финансовая информация и информация о здоровье граждан. В настоящее время большая часть проверок производится по просьбе конкретных физических лиц, подавших в Роскомнадзор соответствующее заявление. По всей вероятности из-за огромного количества учреждений, чьи системы подлежат обязательному аудиту, плановые проверки одномоментно проводиться не будут. 

Вениамин Левцов высказал предположение, что в ближайшие два-три года уже принятые законы будут проходить процесс адаптации к существующим реалиям. По его словам, вероятнее всего, это начнется с банковской сферы. Сейчас, даже при несоответствии процессов оперирования персональными данными требованиям 152-ФЗ, лицензию о банка может отозвать только Центробанк, Роскомнадзор здесь бессилен. Вполне возможно, что в ближайшие годы компании и предприятия различных отраслей создадут ассоциации, разработают отраслевые стандарты безопасности, и таким образом облегчат себе путь приведения своих систем в соответствие 152-ФЗ. Но всё это в будущем, а сейчас всё большее число компаний проявляют озабоченность в связи с предстоящими аудиторскими проверками. 

Что еще почитать по этой теме:



Автор: Елена Шашенкова (info@mskit.ru)

Рубрики: Интеграция, ПО, Регулирование, Безопасность

Ключевые слова: безопасность, информационная безопасность, регулирование, Россвязькомнадзор

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

20.02.2020 Глобальные расходы на ИКТ в 2020 году достигнут $4,3 трлн

18.02.2020 $8 млрд на 5G-IoT заработают операторы

12.02.2020 ИТ-рынок вырастет за счет распространения 5G

05.02.2020 Интернет сдает позиции

23.01.2020 Инвестиции в технологии: трагедия непонимания

23.01.2020 Доля 5G-телефонов в 2022 году составит 43%

21.01.2020 Рынок ПК растет как на дрожжах

10.12.2019 Продажи носимых устройств почти удвоились

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга