Компании не готовы к исполнению закона "О персональных данных" - эксперты
1 июля 2011 года
Закон "О персональных данных", вступивший в силу в пятницу, требует доработки, а к его выполнению готовы далеко не все российские компании, считают эксперты, опрошенные .
Закон, вступивший в силу с 1 июля 2011 года, обязывает всех операторов персональных данных обеспечить защиту своих систем обработки данных, запущенных до 1 января. К таким операторам относятся все компании, хранящие данные о сотрудниках и клиентах.
По мнению экспертов, закон "О персональных данных" в том виде, в каком он существует сейчас, не всегда актуален и прост для исполнения. Неслучайно Госдума наметила в пятницу рассмотреть во втором чтении проект внесения изменений в закон.
ДВОЙНАЯ ЛИНИЯ ЗАЩИТЫ
Руководитель отдела консалтинга компании Positive Technologies Дмитрий Кузнецов считает, что в той части закона, которая направлена на обеспечение неприкосновенности личной жизни, он актуален и действительно работает. Однако в области защиты персональных данных в информационных сетях, по его словам, закон не содержит каких-либо прямых требований.
"К сожалению, технические требования государственных регуляторов сформулированы очень расплывчато, так что даже сегодня у экспертов нет единого мнения о том, как же именно должны защищаться персональные данные в тех или иных информационных системах", - рассказал Кузнецов.
Кроме того, большинство требований, по которым проводится сертификация, либо устарело, либо избыточно для "гражданских нужд", считает директор по маркетингу компании SecureIT Александр Ковалев. Это вынуждает многие организации строить двойную линию защиты - для соответствия закону на случай проверки и реальную, которая действительно может бороться с утечками персональных данных.
По словам заместителя генерального директора компании "Алладин Р.Д." Алексея Сабанова, вопросов о том, как применять закон "О персональных данных" на практике, у операторов нет. Однако он считает, что до массового его выполнения еще далеко.
По данным заместителя руководителя направления аудита и консалтинга департамента продуктов и услуг компании LETA Александра Санина, в целом по рынку о полной готовности можно говорить только у 5-10% представителей среднего и крупного бизнеса. По словам эксперта, среди компаний малого бизнеса эта цифра близка к 1%.
"В первую очередь это связано с тем, что средний и крупный бизнес серьезнее подходит к данной теме и понимает все риски, связанные с невыполнением данного закона. Для малого же бизнеса порой приведение в соответствие с привлечением профессионалов является очень дорогой и неподъемной темой", - считает Санин.
ТРАНСНАЦИОНАЛЬНЫЕ КОМПАНИИ В ЗОНЕ РИСКА
Как утверждает Кузнецов, есть две отрасли, в которых выполнить требования закона практически невозможно - интернет-компании и транснациональные предприятия. "Очень сложно выполнить требования национального законодательства, предъявляемые к информационной системе в целом, если часть вашей системы или рабочее место пользователя находятся на территории другого государства, где действуют принципиально иные нормы права", - считает Кузнецов.
Привести систему обработки данных в соответствие закону будет сложно и организациям, имеющим в силу своей отраслевой специфики много персональных данный и мало денег. К таким можно отнести образовательные и медицинские учреждения. По мнению Санина, сложно будет и компаниям с высокой степенью информатизации, имеющим большую распределенную IT-инфраструктуру. К проблемным, по его словам, можно отнести и системы, в которых участвует большое количество мобильных пользователей.
ИСПОЛНЯТЬ ЗАКОН НЕРЕНТАБЕЛЬНО
"Уже сейчас мы ощущаем, что закон начинает работать, и риски появления ваших приватных данных ниже, чем были несколько лет назад", - считает Сабанов. Однако эксперты уверены, что в закон необходимо внести изменения. И начать стоит с повышения ответственности оператора перед субъектами персональных данных.
"Сейчас в информационных системах обрабатываются данные, публикация которых может причинить человеку колоссальные неприятности", - говорит Кузнецов. - "Однако все, на что он может рассчитывать, - это мизерная компенсация морального вреда, которую еще нужно добиться через суд".
По мнению экспертов, не всегда рентабельно тратить огромные средства на приведение своих IT-ресурсов в соответствие с законом, когда никакой серьезной ответственности по сути не предусмотрено. "Судя по публикуемым в новостях Роскомнадзора штрафам, опасаться серьезного наказания не стоит - в среднем 10-20 тысяч рублей штрафа, это несоизмеримо малая сумма по сравнению с деньгами, которые надо потратить на приведение себя в соответствие с законом - как минимум, 400-500 тысяч рублей для малого бизнеса, и от 1 миллиона рублей для среднего", - утверждает Александр Санин.
Существует и еще одна проблема - противоречивые и часто неактуальные требования закона, которые слабо влияют на реальную задачу. "Некоторые требования изначально были настолько абсурдны, что, например, не позволяли компаниям использовать центры обработки данных или обычные серверы, ведь требовалось разделить всю инфраструктуру по принципу "одна задача (например, список сотрудников на выдачу зарплаты) - один отдельный физический носитель (жесткий диск)", - рассказывает Ковалев.
Полностью готовы к исполнению закона, как утверждает Сабанов, только те предприятия, где стоят грамотные руководители, научившиеся управлять безопасностью. "Даже в самом защищенном предприятии инциденты с информационной безопасностью были, есть и будут. Победят в вечном противостоянии мошенников и защитников только те, кто научился делать правильные выводы из каждого случая и умело закрывать бреши в обороне", - считает эксперт.