Закон «О персональных данных»: пошла вторая «пятилетка»
Закон напрямую затрагивает компании и организации, которые регистрируют персональные данные (ПДн) россиян в своих информационных системах. Все они должны подать в Роскомнадзор уведомление об обработке приватной информации и защитить ее от доступа посторонних. За кажущейся простотой – масса проблем.
Начальник отдела технической защиты информации ООО «ЮРАТЭКС» Рустем Майоров разделяет проблемы на две группы: у организаций, которые пытаются самостоятельно привести свою деятельность в соответствие с ФЗ-152, и те, что возникают при взаимодействии с компанией, предоставляющей соответствующую услугу:
- К первой группе можно отнести недостаточную информированность о требованиях закона и подзаконных актов. Кроме того, нужно приложить усилия, чтобы разобраться в теме. Динамичность изменения законодательной базы эту задачу усложняет: вносятся поправки в закон, появляются новые нормативные акты, отменяются старые. Еще одна сложность – отсутствие дешевых сертифицированных решений в области криптографии для малого бизнеса.
Ко второй группе проблем эксперт относит недостаточный уровень документированности (а чаще – полное ее отсутствие) информационных систем заказчика:
- Информационные системы операторов находятся в постоянном развитии – меняются технические средства и программное обеспечение, меняются решаемые задачи. В процессе выполнения работ приходится «на ходу» подстраиваться под такие изменения. В идеале, обеспечение безопасности персональных данных должно быть непрерывным процессом.
- Ситуация изменилась, причем значительно, с 27 июля 2011 года – с даты вступления в силу изменений в ФЗ-152, – говорит руководитель Управления Роскомнадзора по Ульяновской области Александр Цыкин. – Документ ужесточил ответственность организаций за соблюдение защиты личной информации россиян. Согласие граждан на обработку их персональных данных теперь может быть дано в произвольной форме – достаточно, например, в анкете на сайте оператора поставить галочку в графе «согласен», и это будет считаться положительным ответом. Еще одно принципиальное изменение: какими способами и технологиями осуществлять сохранность данных, теперь выбирает оператор. Ранее уполномоченными органами, которые определяли технологии сохранности данных, были спецслужбы: они рекомендовали использование дорогостоящих методов защиты информации для всех операторов. В результате операторы просто не ставили такую защиту на обработку персональных данных.
В 2012 году закон «О защите персональных данных» получит ряд дополнений в виде подзаконных актов. В работе – постановление Правительства РФ об установлении уровня защищенности персональных данных в информационных системах, постановление об утверждении требований к защите ПДн в соответствии с указанными уровнями, постановление о порядке согласования решений объединений операторов персональных данных, об определении дополнительных угроз. Кроме того, ФСБ и ФСТЭК России должны определить содержание необходимых процедурно-технических мер по обеспечению сохранности персональных данных.
- Новые документы должны учитывать больше исходных данных, – говорит Рустем Майоров. – Если сейчас при классификации учитывается объем и содержание обрабатываемых персональных данных, то в будущем к этому списку должны добавиться: возможный вред субъекту персональных данных, вид деятельности, при осуществлении которого обрабатываются персональные данные. Можно предположить, что методика работы с этими документами будет сложнее. А следствием вероятной сложности ожидаемых документов может стать задержка их выхода.
По информации Управления Роскомнадзора по Ульяновской области, прогнозируемая статистическая численность операторов, осуществляющих обработку персональных данных на территории Ульяновской области, составляет 8806. В реестр операторов ПДн внесены сведения о 4229 операторах, или о 48% от числа потенциальных операторов региона.
Елена Любимова
По мнению аналитиков:
Основная проблема в области защиты персональных данных - в большом количестве операторов ПДн (порядка 5-7 млн. по России) и запутанности регулирования: в него вовлечено много ведомств (ФСБ, ФСТЭК, Роскомнадзор, для банков - Центробанк), которые часто предъявляют противоречивые требования.
Ответственность за несоблюдение норм 152-ФЗ такова, что некоторые организации придерживаются позиции: дешевле платить штрафы, чем реализовывать весь комплекс мер
по защите ПДн.
Цена безопасности ПДн будет меняться в сторону удешевления. Но вопрос не только в цене. Безопасность определяется состоянием общей культуры организации бизнес-процессов и делопроизводства и осведомленностью пользователей в этих вопросах.