Денис Лирник – о принятии федерального закона «О защите персональных данных»

CRN от 22 декабря

Требования закона № 152-ФЗ «О персональных данных» должны с 1 января 2011 года выполнять все, но реально к этому мало готовы как сами операторы персональных данных, так и IT-компании. Не позднее этой даты необходимо привести системы персональных данных организаций всех форм собственности в соответствие с требованиями федерального закона, то есть определить категорию таких данных и выполнить ряд требований по их защите.

Закон «О персональных данных» является результатом приведения российского законодательства и практики работы бизнеса в соответствие международным нормам. Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных была ратифицирована Госдумой в 2005 году, после этого в 2006 году был разработан и в 2007 году вступил в силу ФЗ «О персональных данных». В 2009 и 2010 годах прошли общественные обсуждения требований закона и методических документов на различных информационных площадках.

«В процессе такой активной деятельности, сопровождаемой некоторыми изменениями в законодательстве и методических документах регулятора, в 2010 году резко повысился спрос на подобные проекты. Ответственные операторы и некоторые государственные структуры воспользовались отсрочкой в законодательстве и смогли спланировать решение проблемы в финансовых планах на 2010 год», – рассказывает Денис Лирник, ведущий консультант центра информационной безопасности Softline.

Кроме того, закон № 152-ФЗ создает масштабный спрос на специалистов в области ИБ, причем речь идет именно о тех, кто отвечает в том числе и за поддержание бизнес-процедур, а не о системных администраторах, ответственных за установку и настройку системы защиты.

Сегодня на 7 млн потенциальных операторов ПДн не хватит даже всех выпускников вузов. «Традиционно данный опыт был сосредоточен в крупных интеграторских фирмах, государственных структурах и ведомствах. После того как регулируемая сфера стала распространяться на бизнес, наметилась тенденция оттока кадров из госсектора. Однако одномоментно передать этот опыт в бизнес не получится, потребуется время, а с проблемой нехватки специалистов необходимого уровня все будут сталкиваться довольно долго», – считает Денис Лирник. При этом недостаток специалистов с опытом работы в области технической защиты информации, по его мнению, создает мощные предпосылки для развития рынка услуг в этой сфере (для компаний-лицензиатов ФСБ и ФСТЭК). Необходимость проведения оценки соответствия на отсутствие недекларируемых возможностей для средств и систем защиты, применяемых в ИСПДн 1 класса, создает, как считает Денис Лирник, предпосылки для активного развития рынка российских разработок: «Это обусловлено тем, что зарубежные производители не спешат открывать свои исходные коды нашим регуляторам».

У многих компаний, являющихся по закону операторами ПДн, явно нет бюджетов на полномасштабные комплексные решения в области информационной безопасности и защиты ПДн. Сложность и в том, что в системах защиты ПДн должны использоваться только сертифицированные средства защиты информации, что значительно удорожает проекты, поэтому клиентам малого и среднего бизнеса порой не по карману даже простые решения. Одним из вариантов выхода из сложившейся ситуации можгут стать недорогие типовые решения. Тем не менее, Денис Лирник считает неверным путь «типовой документации». Вместо этого, по его мнению, клиентам с недостаточным финансированием можно предложить формирование долгосрочной модели взаимодействия с интегратором, которая предполагала бы более низкие затраты на работы специалистов за счет сопровождения созданной системы защиты в рамках отдельных договорных обязательств (в сопровождение входит также и поддержка экспертов исполнителя в ходе возможных проверок). Однако в самых простых случаях приемлемы решения, которые ориентированы на типовые для малых субъектов предпринимательства процессы. Такие программы могли бы использоваться в типовой бухгалтерии, отделах кадров, продаж и т. п. Они не будут учитывать специфику конкретного заказчика, однако позволят эффективно решать проблему соответствия законодательству в тех информационных системах, которые построены на базе типового ПО.

В итоге сегодня выполнение требований нормативной базы и реальная защита информационных систем, обрабатывающих персональные данные, это далеко не одно и то же. Поскольку штрафы за невыполнение требований регуляторов на порядок выше штрафов, например, за разглашение персональных данных клиентов, то заказчики будут требовать от IT-компаний в первую очередь оградить их от регуляторов, а не создания реально работающей системы защиты ПДн. Именно этого от законодателей и регуляторов ждут в 2011 году все, кого затрагивает закон «О персональных данных». Закон требует еще множества подзаконных актов, разъяснений.

По мнению Дениса Лирника, в совершенствовании, модернизации и развитии в большей степени нуждается не сам закон, а подходы к защите персональных данных и нормативно-правовая база по смежным направлениям деятельности. Он указывает на несколько проблемных точек. Во-первых, это лицензирование деятельности по вопросам защиты ПДн и обслуживания средств криптографической защиты информации, а именно процедура лицензирования (ФСТЭК и ФСБ) 7 млн операторов. Еще один вопрос – целесообразность оценки средств защиты на наличие недекларированных возможностей. Сможет ли российский IT-рынок (ИСПДн К1) эффективно развиваться без использования передовых общепризнанных решений, которые используются во всем мире? Нерешенная проблема – получение согласия в условиях отсутствия системы электронного документооборота и значимой электронной цифровой подписи в общегосударственном масштабе. Также необходимо урегулировать вопрос трансграничной передачи данных, если совместная работа рекомендуемых к использованию российских средств криптозащиты и широко используемых решений иностранных вендоров невозможна.