Вернуться на все новости от 7 октября 2009 г.

Спасательный круг

Вопросом, как быть в условиях ограниченных сроков и бюджетов, определялось основное содержание конференции "Защита персональных данных на предприятии: от законодательных актов - к практическим шагам", проведенной агентством корпоративных коммуникаций OSP-Con и еженедельником Computerworld Россия 24 сентября.

Вопросом, как быть в условиях ограниченных сроков и бюджетов, определялось основное содержание конференции Защита персональных данных на предприятии: от законодательных актов - к практическим шагам, проведенной агентством корпоративных коммуникаций OSP-Con и еженедельником Computerworld Россия 24 сентября (см. также Права или данные«, Computerworld Online, 5 октября 2009 года). Маловероятно, что правительство перенесет сроки исполнения закона О персональных данных, однако Алексей Катрич, директор по ИТ национального банка Траст, предположил, что в осенних парламентских слушаниях будет возможность как-то ослабить этот закон через воздействие отраслевых ассоциаций. Он назвал поликлиники и загсы единственной надеждой и спасательным кругом финансового блока. Подобные бюджетные учреждения хранят данные, которые нужно защищать по высшему классу, а финансируются, как правило, недостаточно. Между тем известно, что Минздравсоцразвития РФ объявило конкурс на разработку методических указаний для лечебно-профилактических учреждений. По словам Олега Симакова, директора Департамента информатизации Минздравсоцразвития РФ, эти документы призваны уменьшить уровень нарушений в рамках 152-ФЗ. Результаты проекта мы надеемся согласовать с проверяющими органами, - сказал Симаков на конференции InterSystems Симпозиум 2009. В то же время Катрич не подвергает сомнению целесообразность закона, признавая недопустимым факт, что через Internet легко найти личные адреса и телефоны граждан. С этим надо бороться, - заявил он.

Серьезную проблему для банков представляет обеспечение соответствия законодательным требованиям специализированных банковских программ для ЭВМ, в особенности тех, которые разрабатываются самостоятельно. Катрич считает, что многие банки будут вынуждены прекратить использование программных продуктов, разработанных собственными силами. Впрочем, даже не все производители банковского ПО согласились модифицировать свои продукты с учетом требований закона. Среднюю сумму, необходимую банку для приведения информационных систем в надлежащее состояние, Катрич оценил в 10 млн руб.

Что касается стратегии, избираемой организациями в ожидании вступления закона в силу, то Денис Муравьев, генеральный директор Бюро профессиональных услуг 4x4, считает, что малые компании, чья главная задача в текущих экономических условиях - выживание, станут относиться к несоответствию закону всего лишь как к одному из многочисленных рисков, а поскольку организаций много и штат проверяющих невелик, могут рассчитывать, что к ним не придут с проверкой. Средние компании, по его мнению, ограничатся разработкой внутренней нормативной документации. Маловероятно, что они начнут полномасштабные проекты по внедрению средств управления идентификацией, предотвращения потери данных и т. п., из-за высокой стоимости - 300-500 тыс. долл., что, по оценкам Муравьева, равняется примерно четверти годовой прибыли средней компании. Выходом для них Муравьев считает аутсорсинг (уже есть организации, предлагающие услуги по хранению и обработке персональных данных) либо вынос персональных данных за границу, желательно в страну, которая ратифицировала конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных ETS № 108. Один из гостей конференции сообщил, что представители регулирующих органов предупреждали: трансграничная передача информации, например о 100 тыс. лиц призывного возраста, может угрожать обороноспособности страны. Муравьев заявил, что прецедентов мотивированных подобным образом запретов нет и что ему известно по меньшей четыре организации федерального уровня, которые имеют информационные системы персональных данных за границей.

Конкретные шаги для каждой организации Катрич сформулировал следующим образом: во-первых, должна быть создана рабочая группа и все сотрудники, кто имеет отношение к обеспечению исполнения закона, приказом должны быть назначены ответственными за результат. В группу должен войти юрист, которому должна быть предоставлена информация обо всех компонентах информационных систем персональных данных. Он должен будет оценить риски организации и выдать рекомендации, его задачей будет встреча проверяющих и защита прав организации в суде, если потребуется. Затем предстоит определить меру участия организации в проекте, при необходимости проконсультироваться со специализированными фирмами. Компании, которые занимаются информационной безопасностью, поддерживают постоянный контакт с регуляторами и достаточно серьезно продвинулись не только в предложении тех или иных програмных продуктов, но и собственно в консультировании, - заявил Катрич и заметил, что в этих компаниях уже возникла отраслевая специализация. Мероприятия по обеспечению соответствия определяются на основе оценки рисков невыполнения закона.

Дмитрий Яковенко, партнер департамента консалтинга Deloitte, напомнил организациям о необходимости обеспечить осуществление субъектами персональных данных своих прав: ни одна из опрошенных Deloitte организаций не закончила внедрение формализованного процесса для обработки обращений субъектов персональных данных.