ЧТО ДЕНЬ ГРЯДУЩИЙ НАМ ГОТОВИТ?

Во исполнение конвенции Совета Европы о защите персональных данных (от 1981 года!), летом 2006 г. в России был принят Федеральный закон №152 «О персональных данных», декларирующий требования к обработке и обеспечению безопасности ПДн, а также необходимость приведения существующих информационных систем (ИС) в соответствие до 01.01.2010. Под требования закона подпадают практически все организации: в небольших организациях, как минимум, существуют кадровые системы (а это персональные данные), в крупных компаниях, а особенно в банках, используются развитые CRM-системы, АБС, скоринговые системы и т.д.

В чем же трудности реализации требований закона?

Объективных причин две. Первая -сроки приведения в соответствие. В начале прошлого года, только через полтора года после принятия закона, вышли необходимые подзаконные акты и нормативные документы ФСТЭК России и ФСБ России, раскрывающие то, как же нужно защищать ИС операторов ПДн. Причем часть требований не всегда однозначно понимаема, существуют нестыковки различных документов, часть документов имеют гриф «ДСП». Реальная же практика применения начала появляться совсем недавно.

Вторая - очень высокие требования по защите ИС. Если выполнять все требования «в лоб», то, например, АБС банка, исходя из объема обрабатываемых ПДн, подпадает под наивысший (первый) класс защиты. К ней помимо высоких требований по защите от НСД предъявляются требования по защите от утечек информации по техническим каналам связи (ПЭМИН и пр.). Все это приводит к расходам, соизмеримым со стоимостью ИТ-инфраструктуры банка.

Вокруг этих двух проблем сейчас развивается бурная дискуссия. Например, одна из крупных юридических компаний несколько месяцев назад провела анализ законодательной базы и сделала достаточно комичный вывод: часть документов нелегитимна в силу ошибок при их принятии и регистрации, их выполнение не обязательно, Роскомнадзор не имеет права проводить плановые проверки и пр. Также ряд депутатов Государственной Думы выступили с критикой закона и предложениями о переносе сроков.

При этом компании-операторы ПДн сейчас вряд ли могут занимать выжидательную позицию и наблюдать, как будет развиваться ситуация. Ведь нормативная база очень скоро будет приведена в соответствие, нестыковки исключены. По некоторым данным, новые редакции документов можно ждать уже летом. Изменения в закон и перенос сроков вполне реальны, но времени практически не остается - в лучшем случае они попадут только в осеннюю сессию Государственной Думы. Тогда как проверки со стороны Роскомнадзора и других регуляторов уже начались. И помимо штрафов Роскомнадзор имеет право ходатайствовать об отзыве или приостановлении действия лицензий на основную деятельность.

Если говорить о практике применения, то можно кратко перечислить те действия, которые необходимо выполнить операторам ПДн для приведения своих ИС в соответствие с законом: инвентаризация ПДн и ИС, оптимизация работы с ПДн в организации, решение юридических вопросов и получение разрешений от клиентов на обработку их ПДн, классификация ИС и формирование технических требований, выпуск организационно-распорядительной документации, внедрение необходимых мер защиты, подтверждение соответствия или аттестация.

Как показывает наш опыт, важными моментами, непосредственно влияющими на сокращение затрат, могут стать: минимизация объема ПДн, в частности, их исключение из неосновных ИС, обезличивание части ПДн, сокращение мест хранения, правильная классификация ИС, «незавышение» классов защиты, предъявление технических требований на основе модели актуальных угроз. Сейчас в нормативной базе есть достаточно большое количество нюансов и тонкостей, которые в некоторых проектах позволили сократить затраты в разы.

Также важно отметить, что сейчас обсуждается тема скорее защиты от регуляторов и требований законодательства, тогда как вопрос защиты информации о клиентах остается в тени. Это крайне важная тема, поскольку утечки такой информации могут серьезно ударить по репутации компании и лояльности ее клиентов. Правильный баланс между защищенностью и удовлетворением требований -как раз самый актуальный вопрос.