USD 64.61 ЕВРО 72.32

Персональные данные: вопросов больше, чем ответов

Аналитика

До Нового года осталось три месяца. Кто-то ждёт праздника, а кто-то, прежде всего руководители организаций, работающих с персональными данными, ждут неприятностей. Проблема в том, что федеральный закон № 152 «О персональных данных», вступивший в силу в 2007 году, требует, чтобы все организации, обрабатывающие персональные данные, построили системы их защиты и сертифицировали эти системы в государственных органах в период до 1 января 2010 года.

Между тем нормативная база для процесса сертификации пока ещё сформирована не полностью. Ряд важных документов дорабатываются, либо «находятся на согласовании» в компетентных органах. И вообще, в связи с реализацией этого закона у руководителей компаний из разных отраслей и сегментов рынка, да и у государственных организаций возникает множество вопросов.

На некоторые из них смогли получить ответы участники конференции «Построение системы защиты персональных данных компании в соответствии с законодательством РФ», которую организовал 23 сентября, в «Центре Международной торговли на Красной Пресне» Центр информационной безопасности компании Softline. Эта компания занимает ведущие позиции в сфере лицензирования программного обеспечения, обучения и консалтинга.

Сколько стоит сертификация системы защиты персональных данных? Можно ли создать такую систему своими силами или необходимо обращаться только и исключительно к услугам компаний, уже получивших необходимые сертификаты? Не возникнет ли тут элементов монополизма?

Позволяет ли закон оказывать услуги по обработке персональных данных на условиях аутсорсинга? Как быть муниципальным предприятиям, бюджеты которых утверждены, но в них не предусмотрено никаких денег на сертификацию систем защиты персональных данных? И в проектах бюджетов на следующий год средства на эти цели не предусмотрены?

И вообще, возможно ли физически умудриться пройти сертификацию, когда важные нормативные документы пока ещё «проходят согласование», и никто не может сказать, когда же они  эти согласования  пройдут? А до «часа Ч» осталось 3 месяца. А что будет потом?

Более чем пятьсот участников конференции (зал был полон, люди стояли в проходах) ждали конкретных и чётких ответов. Многие тёмные места закона и связанных с ним нормативных документов докладчики разъяснили, некоторые ответы дали. Рассказали, в частности, о типовых юридических и бизнес-рисках, об ответственности юридических лиц, работающих с персональными данными, о процедуре прохождения аттестации информационной системы, даже назвали её примерную стоимость.

По словам одного из докладчиков, пройти сертификацию системы защиты персональных данных для одного офиса, в котором размещено нескольких серверов и несколько сот компьютеров, можно за 3-7 миллионов рублей. «Плюс 100, минус 30 процентов, в зависимости от ситуации».

Позиция ФСТЭК изложена в так называемом «четырёхкнижии»: «Методика определения актуальных угроз безопасности персональных данных при их обработке…», «Базовая модель угроз безопасности персональных данных…», «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных…» и «Рекомендации по обеспечению безопасности персональных данных при их обработке…», утвержденные ФСТЭК 14 февраля 2008 года. Внимательно изучить эти документы посоветовал всем руководителям компаний один из главных докладчиков, представитель ФСТЭК Павел  Крюков. Посоветовал, и быстро ушёл — куда-то очень спешил. Поэтому избежал лишних вопросов и общения с прессой.

Другой важный докладчик, представитель ФСБ, доцент Московского института новых информационных технологий Юрий Коваленко, напротив, был открыт для общения. Он выразил готовность ответить на любые вопросы, входящие в его компетенцию, и разъяснить аудитории портала CIO-world.ru позицию ведомства в связи с реализацией 152 закона. Так что, дорогие коллеги, формулируйте свои вопросы. Мы направим их представителю ФСБ и будем вместе с вами с нетерпением ждать компетентных разъяснений.

Тем более, что конференция оставила много неясностей. Когда одного из докладчиков стали засыпать конкретными «историями из жизни», он то ли отшутился, то ли всерьёз посоветовал подавать такого рода «философские вопросы» в письменном виде и пообещал передать их «в компетентные органы». Это вызвало оживление и энергичные аплодисменты в зале.

А что, собственно, он мог сказать? На многие вопросы пока в принципе ответов нет. А на нет – и суда нет. По крайней мере, для разработчиков подзаконных актов. А для руководителей компаний и предприятий – очень даже есть. За нарушение требований закона «О персональных данных» могут штраф наложить, а могут и посадить. После неумолимо надвигающегося 1 января 2010 года надзорные органы дремать не намерены. Об этом на конференции было заявлено чётко. Хотя и фанатизма в проверках на первом этапе, очевидно, не ожидается. Но это уж кому как повезёт, у кого какая судьба.

В перерыве участники конференции покидали зал в несколько возбуждённом состоянии, но улыбчивый афроамериканец с барабаном и перспектива хорошего обеда помогала примириться с жизненными трудностями. Видимо, в Африке с персональными данными все в порядке…

На выходе участников конференции провожала огромная фигура Бога торговли. Гермес, с одной стороны, бесстыдно демонстрировал не получившим от конференции полного удовлетворения гражданам своё божественное достоинство, но с другой – излучал оптимизм, символизировал устремлённость в будущее и абсолютную уверенность в том, что все вопросы будут решены, а все нормативные документы будут согласованы и опубликованы. Своевременно. Или несколько позже.

О второй части мероприятия Softline мы планируем рассказать несколько позже. На круглых столах, проводимых партнерами компании, также кипели нешуточные страсти, и необходимо время, чтобы во всем разобраться.

Зеленков Александр

Источник: www.cio-world.ru