Архив   Авторы  

Эх, защищу!
Hi-techБизнес

Персональные данные россиян еще не скоро окажутся под защитой

 

Госдума РФ склоняется к тому, чтобы перенести еще на год срок, к которому все информационные системы предприятий, работающих с персональными данными (ПД) граждан, должны соответствовать требованиями закона № 152-ФЗ "О персональных данных". Пока не более пяти процентов операторов ПД причислили себя к этой категории. Почему, вступив в силу еще в 2007 году, закон до сих пор не может реально заработать?

По оценке Юрия Черкаса, руководителя отдела технической защиты информации компании ReignVox, сегодня есть все условия для того, чтобы операторы ПД смогли обеспечить их адекватную защиту в положенные сроки. Правда, отмечает Александр Васюнин, специалист по маркетингу компании "Информзащита", чтобы разобраться в нормативных документах, помимо глубоких технических знаний нужно обладать неплохой юридической подготовкой. Каждая система защиты ПД оказывается уникальным проектом, внедрение которого целесообразно поручить компании, уполномоченной регулятором. При этом типовых несложных решений для небольших компаний нет. Образно говоря, частный стоматологический кабинет должен заказать IT-проект на уровне небольшого банка, поскольку медицинские данные законом отнесены к специальной категории значимости. Но ведь большую часть небольших операторов ПД составляют бюджетные организации: школы, больницы, предприятия ЖКХ и т. д., а средств на реализацию закона из федерального бюджета не выделено ни в этом, ни в следующем году. Средства, между прочим, требуются немалые. По оценке Владислава Резника, председателя комитета Госдумы РФ по финансовому рынку, - на уровне 4-6 процентов ВВП. Минздравсоцразвития оценивает свои начальные потребности в 15 миллиардов рублей. А каждый из более чем тысячи банков затратит, по расчетам АРБ, в среднем по 50 миллионов рублей. Однако эти организации и без того обладают мощными средствами информационной безопасности, в том числе средствами защиты от утечек информации (DLP-системами). "Для защиты ПД могут использоваться только сертифицированные средства, - поясняет Андрей Конусов, генеральный директор LETA IT-company. - А большинство современных систем, особенно западных производителей, подобной сертификации не имеет". Соответствие закону выливается в еще один полномасштабный проект миграции информационной системы банка на новое ПО. Кроме того, некоторые нормы закона № 152-ФЗ вступают в противоречие с отраслевым законодательством, в частности с законом "О банковской тайне". А ряд других просто затрудняет основную деятельность, как, скажем, требование уничтожения ПД через три дня после того, как они были использованы. Это будет мешать банкам распознавать мошенников, предъявляющих недостоверные личные данные. Явно нужны отраслевые стандарты защиты ПД. "Для небольших бюджетных организаций нужно разработать недорогие типовые "коробочные" решения, которые с минимальными затратами можно быстро устанавливать в таких учреждениях", - говорит Андрей Конусов.

К 1 января 2010 года страна подошла с пониманием, что законодательство о защите ПД нужно сильно дорабатывать. Сегодня ФСТЭК и ФСБ определяют для оператора ПД все: от угроз и способов защиты до контроля исполнения требований. Для бюджетных организаций это оправданно. А вот для коммерческих операторов ПД целесообразнее риск-ориентированный подход, при котором сама компания берет на себя ответственность за сохранность ПД и создает (или не создает) необходимые системы защиты. Тогда смысл защиты ПД из административного требования превращается в конкурентное преимущество. В любом случае возможные риски от утечки ПД должны коррелироваться с ответственностью оператора. Пока за неисполнение закона № 152-ФЗ можно получить разве что штраф до 10 тысяч рублей, стимула к IT-проектам не будет. Настоящая забота о персональных данных только начинается.

Чего не хватает для того, чтобы закон реально защищал персональные данные?

Для выполнения требований нормативной базы нужен скорее кнут, чем пряник. Но для фактической защиты ПД законодательство нуждается в определении ответственности за утечку данных. И должны заработать рыночные механизмы: когда репутационные риски, связанные с потерей данных, станут нашей реальностью, клиенты будут выбирать банк или оператора связи, думая в том числе и об отсутствии их клиентских баз на рынке или в Интернете.


Игорь Ляпунов

ди­рек­тор цен­тра ин­фор­ма­ци­он­ной бе­зо­пас­нос­ти "Инфо­сис­те­мы Джет"

В законе остался ряд дыр, которые потенциально могут оказаться мощными источниками утечки ПД, например, социальные сети, электронные платежные системы нерезиденты (около 10 миллионов паспортов клиентов). Отдельного внимания требуют системы резервирования. Так, 85 процентов данных российских авиаперевозчиков, включая "Аэрофлот", хранятся в базах зарубежных систем бронирования. То есть информация о перемещениях россиян доступна для бесконтрольного анализа.


Тимур Аитов

ви­це-пре­зи­дент Наци­ональ­но­го пла­теж­но­го со­ве­та

Сегодня закон говорит предприятию: "Выполняй требования, иначе понесешь наказание", фактически просто велит ему потратить определенное количество денег. Правда, эти требования еще должны уточнить ведомства. Они же решат, как проверять выполнение требований. Не ранее чем через год после начала массовых проверок со стороны контролирующих органов станет точно понятно, как именно регуляторы трактуют "точное исполнение закона". Пока это непонятно, в том числе и им самим.


Николай Федотов

глав­ный ана­ли­тик InfoWatch

Добавить в:  Memori  |  BobrDobr  |  Mister Wong  |  MoeMesto  |  Del.Icio.Us  |  Google Bookmarks  |  News2.ru  |  NewsLand.ru

Политика и экономика

Что почем
Те, которые...

Общество и наука

Телеграф
Культурно выражаясь
Междометия
Спецпроект

Дело

Бизнес-климат
Загранштучки

Автомобили

Новости
Честно говоря

Искусство и культура

Спорт

Парадокс

Анекдоты читателей

Анекдоты читателей
Популярное в рубрике
Яндекс цитирования NOMOBILE.RU Семь Дней НТВ+ НТВ НТВ-Кино City-FM

Copyright © Журнал "Итоги"
Эл. почта: itogi@7days.ru

Редакция не имеет возможности вступать в переписку, а также рецензировать и возвращать не заказанные ею рукописи и иллюстрации. Редакция не несет ответственности за содержание рекламных материалов. При перепечатке материалов и использовании их в любой форме, в том числе и в электронных СМИ, а также в Интернете, ссылка на "Итоги" обязательна.

Согласно ФЗ от 29.12.2010 №436-ФЗ сайт ITOGI.RU относится к категории информационной продукции для детей, достигших возраста шестнадцати лет.

Партнер Рамблера