Вернуться на все новости от 6 октября 2009 г.

Права или данные«

Федеральный закон РФ

Федеральный закон РФ № 152-ФЗ О персональных данных вступил в силу в январе 2007 года. Однако большинство организаций - операторов персональных данных не инициировали вовремя проекты по приведению информационных систем персональных данных в соответствие с требованиями закона. На конференции Защита персональных данных на предприятии: от законодательных актов - к практическим шагам, проведенной 24 сентября агентством корпоративных коммуникаций OSP-Con и еженедельником Computerworld Россия, обсуждались проблемы исполнения закона в условиях сжатых сроков (системы, созданные до дня вступления закона в силу, должны быть приведены в надлежащее состояние к 1 января 2010 года).

Денис Муравьев, генеральный директор Бюро профессиональных услуг 4x4, констатировал, что в целом закон не выполняется. Свидетельством тому служат по-прежнему продающиеся диски с базами данных (операторов связи, например), с подписками на обновления. Он предположил, что несоблюдение закона во многом обусловлено его неконкретностью, и отметил, что операторы персональных данных в основном ориентируются на отечественное законодательство, забывая о ратифицированной Россией конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных ETS № 108. Между тем положения конвенции как международного договора имеют преимущественную силу над положениями федерального закона, что явно оговорено в п. 4 ст. 4 закона 152-ФЗ. Муравьев заявил, что в нашей стране налицо перекос в сторону защиты прав субъектов персональных данных; на его взгляд, логичнее, чтобы контрольный и надзорный орган - Роскомнадзор - был уполномочен защищать сами персональные данные, а не права субъектов персональных данных, что ставит оператора в невыгодное положение. Надо отметить, что цель упомянутой конвенции - обеспечить уважение именно прав и основных свобод человека, и в особенности его права на неприкосновенность личной сферы.

Дмитрий Яковенко, партнер департамента консалтинга Deloitte, представил некоторые выводы исследования по оценке готовности к выполнению требований федерального закона О персональных данных, завершенного компанией в августе нынешнего года (опубликовано на сайте Deloitte). Из компаний, которые заняты в отраслях, связанных с обработкой значительного количества персональных данных, менее половины уверены, что существующие средства информационной безопасности позволяют надежно защитить персональные данные. 85% опрошенных считают, что закон в нынешней редакции содержит недостаточно детализированные требования и необходимы дополнительные разъяснительные документы и отраслевые стандарты; 43% респондентов отметили несогласованность и противоречия между требованиями 152-ФЗ и других законов, отраслевого законодательства и стандартов, а также прочих регламентирующих документов; указано также, что часть нормативно-методических документов ФСТЭК и ФСБ, устанавливающих методы и способы защиты информации в информационных системах, не опубликованы. Большинство организаций не располагает необходимым количеством специалистов для подготовки к выполнению требований закона, а организации, использующие более пяти информационных систем персональных данных, оценивают размер инвестиций для выполнения требования закона не менее чем в 10 млн руб. Недостаточное количество специалистов, а также существенные финансовые и временные затраты - вот факторы, которые, согласно выводам Deloitte, делают маловероятной готовность большинства организаций к выполнению требований закона в срок.

С другой стороны, несовершенство нормативной правовой базы в некоторой степени облегчает выполнение закона. В частности, обязанность классификации информационной системы возложена на оператора (см., например, Защита персональных данных в информационных системах, Журнал сетевых решений LAN, 2008, № 12). Оператор может классифицировать свою систему как специальную, что позволяет ему сформировать собственную модель угроз, признав часть угроз неактуальными. По словам Муравьева, большинство организаций-клиентов классифицируют свои системы как специальные, чтобы сэкономить на дальнейших мероприятиях по защите персональных данных, а для того, чтобы заставить оператора пересмотреть класс системы, законодательного механизма не существует. Однако, как он сообщил, имеются случаи выявления регулятором ошибочной классификации.

В докладах представителей компаний Sun Microsystems, McAfee, Symantec, Stonesoft были представлены методологии, программные и технические средства, позволяющие создавать защищенные информационные системы персональных данных. На конференции обсуждались также практические меры по обеспечению соответствия законодательным требованиям для организаций с разными возможностями, в том числе такие, как аутсорсинг и вывод информационных систем персональных данных за границу.