Кто предупрежден, тот вооружен

5 июня 2011 года Государственной думой Российской Федерации были приняты поправки в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», которые ужесточили требования к операторам персональных данных и открыли новый дискуссионный виток между специалистами по информационным технологиям и властью. На вопросы редакции отвечает директор направления информационной безопасности ООО «Perpetuum mobile» Виталий Пашковский.

ДВ: — Расскажите вкратце о данном законе, и какие сферы нашей жизни он затрагивает?

— Начнем с того, что сам закон был принят еще в 2006 году, а в полную силу вступил 1 января 2011 года. Государство дало операторам 5 лет на то, чтобы привести все информационные системы, которые существуют, в соответствие его требованиям. А это процесс не из легких. Предпосылками возникновения данного нормативного документа послужил опыт Европейских коллег, а также наличие в нашей стране множества нелегальных баз данных, «гуляющих» по глобальной сети. Сфера распространения охватывает практически все организации, начиная от детских садов, ТСЖ, страховых компаний, медучреждений всех уровней и заканчивая государственными органами власти, поэтому возникло множество проблем и разногласий.

ДВ: — Скажите, пожалуйста, какие проблемы возникли у операторов на этапе выполнения закона?

— Во-первых, незнание многими операторами о существовании данного закона. Как показывает практика из одной тысячи операторов только 20% имеют общее представление, не говоря о каких-то действиях, которые необходимо выполнять. Во-вторых, зачастую операторы не спешат тратить время и средства, думая, что пока до них дойдет очередь проверки истечет достаточно времени. В принципе это реально, так как годовой план проверок Роскомнадзора не превышает 50 организаций. Но с другой стороны президент Российской Федерации категорично настроен, поэтому планы могут быть переписаны. В-третьих, нормативная база по информационной безопасности насчитывает порядка 60 документов, многие из которых противоречат друг другу, и даты издания затрагивают еще советское время, и если у сотрудника нет специального образования, то разобраться что к чему будет очень сложно. В-четвертых, низкий уровень деловой грамотности управленцев и должностных лиц.

ДВ: — Какие государственные регуляторы существуют на данный момент?

— Основными регуляторами в области защиты ПДн являются Роскомнадзор, ФСТЭК и ФСБ. Сферы деятельности этих государственных органов можно условно разделить следующим образом:
• Роскомнадзор является главным регулятором в области защиты ПДн, он занимается общими вопросами, контролирует состояние организационно-распорядительной документации, ведет реестр операторов ПДн;
• ФСТЭК занимается в первую очередь технической стороной защиты ПДн, обрабатываемых в информационных системах организации;
• ФСБ курирует вопросы криптографической защиты ПДн и государственной безопасности в контексте ПДн (например, ФСБ может заблокировать передачу ПДн за рубеж).

ДВ: — Какие рекомендации вы дадите руководителям организаций по выполнению требований закона?

Всех рекомендаций, конечно, не опишешь, потому что они занимают более 100 листов печатного текста. Если быть кратким, то в-первую очередь внимательно ознакомиться с законом, определить свою категорию информационной системы, подготовить руководящую документацию, подать уведомление в соответствующий орган, закупить необходимые технические средства с последующей установкой и проведением аудита. Конечно же, это очень непросто, поэтому есть и второй вариант обратиться к специалистам.