Требования закона № 152-ФЗ «О персональных данных» должны с 1 января 2011 г.* выполнять все, но реально к этому мало готовы как сами операторы персональных данных, так и ИТ-компании.
Не позднее этой даты необходимо привести системы персональных данных организаций всех форм собственности в соответствие с требованиями федерального закона, то есть определить категорию таких данных и выполнить ряд требований по их защите.
Людям, мало знакомым с понятием персональных данных (ПДн), может показаться, что это узкоспециальный закон, касающийся тех, кто работает с большими массивами информации о физических лицах — банков, госучреждений, интернет-провайдеров и т. п. Под действие 152-ФЗ на самом деле подпадают фактически все юридические лица, за исключением индивидуальных предпринимателей, у которых нет наемного персонала. Любая же другая компания, где более одного работника и где ведется бухгалтерский и кадровый учет, уже является оператором персональных данных (ОПДн).
Но Россия — страна парадоксов. До «часа икс» остались считанные дни, а компаний, выполнивших требования закона, — хорошо, если наберется несколько процентов от числа «законообязанных». По крайней мере именно столько зарегистрировались в Роскомнадзоре, куда должны были обратиться с уведомлением все такие компании.
«В ЕГРЮЛ на сегодняшний день содержится информация примерно о 7 млн. юрлиц. Пусть даже половина из них „однодневки“, тогда реальных компаний — около 3,5 млн. По сути, практически все они, поскольку ведут хотя бы бухгалтерский учет и имеют больше одного сотрудника, должны выполнять требования 152-ФЗ. Но сейчас в Роскомнадзор подали соответствующее уведомление об этом лишь около 140 тыс. компаний — то есть это порядка 4%, — рассказывает Михаил Емельянников, директор по развитию бизнеса компании „Информзащита“. — Есть и такая особенность: некоторые организации ввиду неясностей в самом законе считают, что они не обязаны регистрироваться в Роскомнадзоре как операторы персональных данных». Остальные, де-факто став нарушителями закона в январе, все равно будут вынуждены решать — что делать дальше?
Вслед за Европой
Закон «О персональных данных» является результатом приведения российского законодательства и практики работы бизнеса в соответствие международным нормам. Конвенция Совета Европы о защите личности в связи с автоматической обработкой персональных данных была ратифицирована Госдумой в 2005 г., после этого в 2006 г. был разработан и в 2007 г. вступил в силу ФЗ «О персональных данных». В 2009 и 2010 гг. прошли общественные обсуждения требований закона и методических документов на различных информационных площадках.
«В процессе такой активной деятельности, сопровождаемой некоторыми изменениями в законодательстве и методических документах регулятора, в 2010 г. резко повысился спрос на подобные проекты. Ответственные операторы и некоторые государственные структуры воспользовались отсрочкой в законодательстве и смогли спланировать решение проблемы в финансовых планах на 2010 г.», — рассказывает Денис Лирник, ведущий консультант центра информационной безопасности Softline.
Так как за последние несколько лет закон менялся, многие операторы ПДн не торопятся что-то менять в своей работе — они не уверены, что и сегодня имеют дело с финальным вариантом. «В 2009 г. спрос на услуги по защите ПДн активизировался. Как только стало известно о переносе сроков исполнения требований закона на 2011 г., многие компании заняли выжидательную позицию, надеясь, что „авось вообще все отменят“, — говорит Алексей Баданов, руководитель направления департамента сетевой интеграции ЛАНИТ. — В этом году произошло „осеннее оживление“. Компании проводили обследования, классификацию информационных систем ПДн (ИСПДн), готовили пакеты руководящих документов по обработке ПДн, но реализацию конкретных мер многие отложили на „потом“».
Теоретически закон нужен в первую очередь самим гражданам — субъектам ПДн, а не операторам, для которых новые правила означают необходимость прикладывать определенные, в том числе финансовые, усилия, чтобы соответствовать его требованиям. По мнению Сергея Шибкова, директора департамента информационной безопасности «РАМЭК-ВС», культура информационной безопасности в большинстве российских компаний низка — государственным учреждениям хватает финансов для решения этих вопросов, а руководители коммерческих структур и частного бизнеса, как правило, просто не хотят тратить деньги на системы защиты информации — и здесь принятие закона могло бы сыграть положительную роль. Но даже на вновь вводимых объектах решение проблем защиты персональных данных часто осуществляется по «остаточному принципу», поэтому понятно, что о полном выполнении требований нормативно-методических документов регулирующих органов на многих объектах не может быть и речи, не говоря уже о приведении в соответствие действующих систем. Поэтому очевидно, что «на этой ниве не может не произрастать коррупционная составляющая». При этом чем жестче будут проверки и штрафные санкции, тем в большей степени это будет проявляться, так как стоимость систем защиты ПДн значительно выше штрафных санкций за нарушение закона.
Согласен с этим и Вячеслав Медведев, менеджер проектов компании «Доктор Веб»: «Как показывает практика, большинство организаций игнорируют не только необходимость создания современных систем информационной защиты бизнеса, но и вообще не понимают базовых принципов информационной безопасности. Это объясняется самыми разными причинами — от банальной нехватки средств у малых и средних предприятий до надежды на русский авось».
Но мнения о законе не у всех одинаковы: «С моей точки зрения, большинство средних и малых компаний-заказчиков в такой регламентации не нуждается. Необходимости в защите ПДн в массовом порядке нет, — считает Альберт Лопянскис, генеральный директор „Балтик Стайл“ (Калиниград). — Обоснования необходимости такого закона (в действующей редакции) похожи на очередные необоснованные страшилки. Санкции за несоблюдение могут быть очень серьезными, стоимость выполнения требований закона для бизнеса очень высока, зачастую просто неподъемна, рынок подрядчиков к этим работам в массовом порядке не готов. Поэтому, конечно, закон станет очередным источником коррупционных практик в отношениях бизнеса и госорганов».
А Кирилл Полетаев, директор филиала компании «Форт Диалог» (Уфа), напротив, считает, что в его регионе подавляющее число операторов готовы к выполнению требований закона: «Сейчас большинство крупных и средних компаний уже оформляют необходимую организационно-распорядительную документацию (ОРД)».
Спрос в теории
Как бы сами операторы ПДн и ИТ-компании ни относились к 152-ФЗ, закон, так или иначе, окончательно вступает в силу (точнее, заканчивается отсрочка на выполнение его требований), а значит, у операторов ПДн остаются два пути: рассчитывать на то, что проверка к ним быстро не придет, а если и придет, удастся «откупиться», или действительно выполнять требования закона. Последнее означает либо самостоятельное упорядочивание своих средств защиты ПДн, либо обращение к ИТ-подрядчику. С учетом масштаба нововведений это должно создать новые сегменты для работы ИТ-компаний.
«Закон действительно создает такие сегменты спроса на рынке, — говорит Михаил Емельянников. — В первую очередь это спрос на средства предотвращения несанкционированного доступа, межсетевого экранирования и предупреждения (обнаружения) вторжений, которые в секторе СМБ ранее практически не использовались, но необходимы для нейтрализации угроз персональным данным».
«Да, закон № 152-ФЗ создает предпосылки для создания рынка услуг — в большинстве случаев выгодно доверить создание сети, соответствующей требованиям закона, специалистам. Во многих случаях без этого вообще не обойтись — например, для шифрования каналов передачи данных», — считает Вячеслав Медведев.
Кроме того, закон № 152-ФЗ создает масштабный спрос на специалистов в области ИБ, причем речь идет именно о тех, кто отвечает в том числе и за поддержание бизнес-процедур, а не о системных администраторах, ответственных за установку и настройку системы защиты.
Сегодня на 7 млн. потенциальных операторов ПДн не хватит даже всех выпускников вузов. «Традиционно данный опыт был сосредоточен в крупных интеграторских фирмах, государственных структурах и ведомствах. После того как регулируемая сфера стала распространяться на бизнес, наметилась тенденция оттока кадров из госсектора. Однако одномоментно передать этот опыт в бизнес не получится, потребуется время, а с проблемой нехватки специалистов необходимого уровня все будут сталкиваться довольно долго», — считает Денис Лирник. При этом недостаток специалистов с опытом работы в области технической защиты информации, по его мнению, создает мощные предпосылки для развития рынка услуг в этой сфере (для компаний-лицензиатов ФСБ и ФСТЭК). Также необходимость проведения оценки соответствия на отсутствие недекларируемых возможностей для средств и систем защиты, применяемых в ИСПДн 1 класса, создает, как считает Денис Лирник, предпосылки для активного развития рынка российских разработок: «Это обусловлено тем, что зарубежные производители не спешат открывать свои исходные коды нашим регуляторам».
На деле же рыночные законы могут столкнуться с российскими реалиями. «Потенциально закон создает новый сегмент ИТ-рынка в регионе. Это новые ИТ-проекты в сфере обеспечения информационной безопасности и администрирования. В этом сегменте фактически нет игроков, рынок почти свободен. Но, к сожалению, эта сфера настолько регламентирована лицензионными и другими требованиями, что предоставлять услуги смогут только определенные, близкие к госорганам (или к определенным лицам) компании. То есть сегмент как бы есть, но он не рыночный», — считает Альберт Лопянскис.
...и спрос на практике
Мы попросили некоторых представителей ИТ-компаний оценить рост спроса на решения по 152-ФЗ не в теории, а на практике и поделиться своими наблюдениями. Можно отметить, что оценивать текущий год трудно, так как многие операторы ПДн относятся к бюджетной сфере, и у них в 2010 г. расходы на защиту информации не были запланированы.
«Спрос на решения есть, и рост его ощущается, но пока только на уровне проработки. Поскольку бюджеты у большинства организаций (независимо от формы собственности) близки к нулю, то и реальных закупок очень мало, — объясняет Сергей Казаченко, директор филиала „Технологии Бизнес-систем“ (Архангельск). — На практике это происходит следующим образом. Проводим у заказчика аудит на соответствие ИСПДн требованиям 152-ФЗ, по итогам которого рождается определенная спецификация необходимого к закупке оборудования и ПО стоимостью, скажем, на 3 млн. руб. А в этой организации бюджет на всю ИТ-инфраструктуру на следующий год запланирован меньше этой суммы! Уменьшить эту спецификацию и при этом соблюсти все требования достаточно сложно».
«Мы видим растущий интерес к проектам по защите ПДн. Надеемся, что за этим последует и существенный рост спроса, — делится своими наблюдениями Кирилл Полетаев. — Особенность текущего момента состоит в том, что большинство компаний пытается реализовать проекты защиты своими силами: для государственных учреждений проводятся обучающие семинары с разъяснениями в части оформления организационно-распорядительных документов и выбора систем защиты информации; крупные компании создают специализированные отделы, или структура внедряется в существующие отделы ИТ или экономической (информационной) безопасности».
Альберт Лопянскис отмечает, что в его регионе спрос на такие решения небольшой, и только со стороны крупных частных организаций: «Остальные 95–98% участников рынка, видимо, или не знают о грядущих изменениях, или рассчитывают, что дешевле будет решать вопрос, как обычно. Кстати, что интересно, никто и нигде не указывает какие-то типовые решения с указанием реальной стоимости их внедрения. Никто и нигде не делает расчет возврата инвестиций и прочие действия по экономическим обоснованиям. Видимо, если сделать такой расчет, результат покажет экономическую неэффективность предлагаемых решений и механизмов, сформулированных в самом законе и регламентирующих актах. И реальная стоимость защиты превысит возможные потери».
Усиление спроса на решения по защите персональных данных сейчас характерно для крупных операторов ПДн федерального масштаба. «Крупные государственные заказчики больше уделяют внимания вопросам защиты персональных данных. Это связано, на наш взгляд, с большим вниманием со стороны государства и общества, в то время как для небольших компаний шанс попасть в список ежегодно проверяемых операторов или быть проверенным по заявлению субъектов персональных данных невелик. Поэтому такие организации, скорее всего, немного подождут, пока требования установятся в своем финальном виде», — говорит Андрей Решетов, вице-президент по информационной безопасности «Аквариус».
«Спрос на проекты по защите ПДн очень значительный. Наибольший интерес к подобным проектам проявляют крупные операторы ПДн — телеком-операторы, банки, страховые компании, — рассказывает Игорь Ляпунов, директор центра информационной безопасности „Инфосистемы Джет“. — В меньшей степени они актуальны для государственных предприятий. Компании малого бизнеса, как правило, реализуют проекты по защите ПДн самостоятельно, без привлечения внешних подрядчиков».
Кирилл Керценбаум, представитель по продажам решений по безопасности IBM в России и СНГ, отмечает, что для партнеров и заказчиков компании был характерен «неспециализированный» спрос — когда они интересуются тем, что может предложить компания-производитель для построения систем по защите информационных данных, без определенной классификации этих средств, не понимая, что именно нужно компании в каждой конкретной ситуации. «Сейчас же структура спроса меняется и становится более качественной, что в том числе связано и с совершенствованием законодательной базы в сфере защиты ПДн. Появляется больше запросов на конкретные, точечные решения», — говорит он.
Рук не хватает
Даже если все операторы ПДн вдруг решили бы стать законопослушными, ИТ-компаний, которые могли бы им в этом помочь, явно не хватает, особенно в регионах. Опыт работы и все необходимые лицензии имеют, как правило, только крупные федеральные интеграторы, небольшим же региональным компаниям повышение компетенции своих специалистов и приобретение всех разрешений и лицензий на работу в проектах по защите ПДн зачастую просто не под силу. К тому же у таких компаний нет ясного понимания, что затраты на обучение и лицензирование в конечном итоге окупятся.
«Для того чтобы ИТ-компания могла работать в этом сегменте, она в первую очередь должна произвести определенные финансовые вливания в это направление — обучение специалистов, получение целого букета необходимых лицензий ФСБ и ФСТЭК и т. д. К тому же сегодня специалистов по ИБ очень мало, ведь раньше потребность в них была значительно меньше. На сегодня большинство компаний нашего региона не готовы к таким затратам, поэтому, например, на нашем рынке в сфере инфобезопасности работают либо фирмы, давно специализирующиеся на этом направлении, либо недавно появившиеся филиалы столичных интеграторов», — говорит Сергей Казаченко.
«Существующие участники ИТ-рынка просто не потянут объемы работ, если заказчики в массовом порядке начнут исполнять требования закона. Максимум, что они смогут сделать, это закрыть 5–15% потребностей от общего объема рынка», — уверен Альберт Лопянскис .
«Конечно, далеко не всякая компания может выполнять проекты такого уровня. Однако если говорить о том, есть ли они в регионах, то да, есть. Но массово небольшим ИТ-компаниям сложно обеспечивать достаточную компетенцию», — согласен с ними Кирилл Полетаев.
«На мой взгляд, в силу сложившейся годами внутренней „конституции“ большинство региональных компаний не смогут существенно повлиять на раздел этого пирога, — замечает Дамир Гибадуллин, директор по развитию „КОСС Плюс“ (Самара). — Основная причина — отсутствие понятного и простого механизма выхода на рынок этого вида услуг. Вторая причина — туманная перспектива возврата инвестиций в обучение персонала, оборудование и т. д.». По его мнению, первую скрипку, как всегда, будут играть столичные компании-интеграторы, имеющие сильные позиции в различного рода министерствах и отраслевых управлениях, а вторые позиции займут холдинги с широким региональным присутствием и связями на уровне местных руководителей.
Работать вместе?
В этой ситуации теоретически появляются неплохие перспективы совместной работы небольших региональных ИТ-компаний с крупными интеграторами, имеющими большой опыт в создании и внедрении систем инфобезопасности. Сами интеграторы такую модель поддерживают.
«Имеются ключевые моменты в создании системы защиты, этим должны заниматься профессионалы: разработка модели угроз, подготовка ТЗ, техническое проектирование. Наиболее важной является оценка соответствия (аттестация) объекта. Вот эти основные вопросы решаются нами, а остальные работы в силу своей компетенции выполняют наши партнеры в регионах», — рассказывает Сергей Шибков. Тем более что многие региональные компании давно работают в контакте с обладающими большей компетенцией партнерами. Однако сами представители регионов указывают на ряд сложностей.
«Можно наладить совместную работу со специализированными интеграторами, разработчиками решений в области информационной безопасности. Есть некоторое встречное движение малых фирм и больших интеграторов. Небольшие компании могут самостоятельно работать под лицензиями таких интеграторов. Но пока не наработана практика такого сотрудничества, — говорит Альберт Лопянскис. — Кроме того, эта работа почти всегда требует вмешательства в сложившуюся ИТ-инфраструктуру заказчика. Значит, небольшая компания должна иметь специалистов высокой квалификации по нескольким направлениям ИТ. А такие компании в регионах встречаются нечасто».
Сергей Казаченко говорит о том, что местные компании, как правило, боятся приводить к своим заказчиком посторонних, тем более, если они гораздо «сильнее». Поэтому механизм сотрудничества складывается только сейчас и заработает только в том случае, если закон будет реально выполняться на местах.
Бюджетный вариант
У многих компаний, являющихся по закону операторами ПДн, явно нет бюджетов на полномасштабные комплексные решения в области информационной безопасности и защиты ПДн. Однако если они не хотят нарушать закон, ИТ-компании должны предложить им бюджетные варианты, при этом не скатываясь на уровень строителей «потемкинских деревень». Сложность и в том, что в системах защиты ПДн должны использоваться только сертифицированные средства защиты информации, что значительно удорожает проекты, поэтому СМБ-клиентам порой не по карману даже простые решения.
Какие возможны выходы? Если речь идет о малой фирме, не работающей с большими массивами ПДн, то она может попробовать реализовать проект сама или привлечь специалистов по ИБ лишь для консультаций. К тому же благодаря последним изменениям в законе СМБ-сектор оказался выведен из-под действия самых строгих требований. «Например, сертификация на отсутствие недекларированных возможностей в программном обеспечении защиты осталась обязательной только для ИСПДн класса 1. А это в первую очередь государственные, медицинские организации. Таким образом, дополнительных требований для малого бизнеса этот закон почти не вводит», — говорит Кирилл Керценбаум.
«Для СМБ и компаний, не имеющих больших массивов ПДн, выполнение нормативных требований — процесс не очень сложный. Как правило, в небольших компаниях персональные данные обрабатываются в кадровой системе, бухгалтерии и, может быть, в небольшой CRM-системе. Эти системы соответствуют классу К3-К4, и обычно компании самостоятельно реализуют подобные проекты», — считает Игорь Ляпунов.
При этом стоимость комплексного проекта по защите персональных данных не всегда напрямую связана с масштабом бизнеса. Например, даже в крупных FMCG-компаниях может быть всего лишь 5–10 пользователей систем ПДн. В этом случае затраты на выполнение требований 152-ФЗ будут сравнимы, а зачастую и меньше, чем стоимость работ для небольшого городского интернет-провайдера со штатом 10 человек. «Можно с уверенностью сказать, что если основное направление деятельности компании не связано с ведением или использованием клиентской базы физических лиц, то затраты на реализацию требований 152-ФЗ никак не будут связаны с размером бизнеса. Печете ли вы пирожки или выплавляете сталь — если „мощности“ компаний, как операторов ПДн, равны, то и затраты будут сравнимы», — говорит Роман Писарев, ведущий эксперт департамента ИТ-безопасности TopS BI.
Еще один вариант для ИТ-компаний, работающих с потенциальными СМБ-заказчиками, — типовые недорогие решения. Однако мнения относительно такого подхода неоднозначны. Ряд специалистов полагает, что в области информационной безопасности вообще не может быть типовых подходов. «ИТ-компании могут предлагать таким клиентам некие упрощенные варианты. Но я уверен, что „коробочных“ решений по ИБ не существует в принципе из-за уникальности информационных систем операторов. Конечно, нынешняя ситуация, видимо, приведет к возникновению подобных схем «защиты» от ФЗ-152, даст отдельным ИТ-компаниям возможность подзаработать, но никакого отношения к реальному выполнению требований закона, к реальной защите ПДн это иметь не будет», — уверен Михаил Емельянников.
Неверным считает путь «типовой документации» и Денис Лирник. Вместо этого, по его мнению, клиентам с недостаточным финансированием можно предложить формирование долгосрочной модели взаимодействия с интегратором, которая предполагала бы более низкие затраты на работы специалистов за счет сопровождения созданной системы защиты в рамках отдельных договорных обязательств (в сопровождение входит также и поддержка экспертов исполнителя в ходе возможных проверок). Однако в самых простых случаях приемлемы решения, которые ориентированы на типовые для малых субъектов предпринимательства процессы. Такие программы могли бы использоваться в типовой бухгалтерии, отделах кадров, продаж и т. п. Они не будут учитывать специфику конкретного заказчика, однако позволят эффективно решать проблему соответствия законодательству в тех информационных системах, которые построены на базе типового ПО.
Алексей Баданов предлагает еще один вариант для СМБ-клиентов — возможность хостинга ПДн от компаний, способных обеспечить надлежащие условия защиты и принять на себя информационные риски: «Средний и малый бизнес, готовый к таким решениям, получит реальную экономию средств на защиту ПДн, в противном случае придется выложиться „по полной“. Но готовность рынка предоставить услугу хостинга ПДн — отдельный вопрос».
Легальная экономия
Наши эксперты считают, что клиентам с небольшим бюджетом может помочь реорганизация работы с ПДн до такого состояния, чтобы как можно меньше подпадать под требования 152-ФЗ, — например, разделять данные, деперсонифицировать, локализовывать их обработку и т. п.
«Я бы не назвал это уходом от требований закона. Обработку персональных, как и любых критически важных данных, следует проводить только там, где это необходимо, и доступ к ней должны иметь только те, кому это положено по роду деятельности», — считает Вячеслав Медведев.
«Разделение данных, локализация их обработки и многие другие бюджетные методы и средства защиты персональных данных имеют право на существование. Единственное, что хочется посоветовать предприятиям, пытающимся самостоятельно решать возникающие вопросы, это заручиться консалтинговой поддержкой ИТ-компании, имеющей реальные компетенции в области информационной безопасности и которой вы доверяете», — говорит Роман Писарев.
Предлагать такие решения клиентам вполне законно. «Не следует интерпретировать некоторые виды «специального представления ПДн» как попытку уйти от исполнения закона. Напротив, квалифицированная ИТ-компания в процессе обследования и классификации ИСПДн должна рассмотреть различные варианты представления ПДн, которые позволили бы снизить стоимость средств защиты, оставаясь в рамках требований закона», — уверен Алексей Баданов.
Многие формально подпадающие под действие закона компании и организации (особенно малые) вообще не очень хорошо себе представляют, в чем состоит суть закона о персональных данных и что от них требуется. Им в первую очередь нужны даже не проекты, а консалтинг — оценка специалистами того, что именно они должны делать для исполнения закона. В нынешнем году многие ИТ-компании проводили своеобразный «ликбез» — семинары, в том числе и бесплатные, для операторов ПДн. Однако для, например, ведомственных операторов ПДн нужны не идеи ИТ-подрядчиков, а в первую очередь бюджетное финансирование и ведомственные стандартизированные рекомендации и требования, которых сегодня нет.
«Я думаю, что главной проблемой 152-ФЗ может стать даже не для сектора СМБ, а скорее для „малого госсектора“ — ЗАГСов, отделений ГИБДД, поликлиник, ЖЭКов и т. д., — считает Михаил Емельянников. — Именно там, очевидно, находятся большие массивы ПДн, и они никак не защищены. Можно зайти в тот же ЖЭК, увидеть там открытую дверь и окажется, что это незапертая серверная, охлаждаемая „естественным“ путем. В медицинской сфере ситуация не лучше. Да, решения для работы с медицинскими ПДн и их защитой есть, но кто их будет внедрять и пользоваться ими в районной поликлинике? Там нет, скорее всего, даже своего системного администратора. Кто сможет им хотя бы объяснить, в чем суть закона, подготовить ТЗ, модели угроз?»
В итоге сегодня выполнение требований нормативной базы и реальная защита информационных систем, обрабатывающих персональные данные, это далеко не одно и то же. Поскольку штрафы за невыполнение требований регуляторов на порядок выше штрафов, например, за разглашение персональных данных клиентов, то заказчики будут требовать от ИТ-компаний в первую очередь оградить их от регуляторов, а не создания реально работающей системы защиты ПДн.
Больше ясности
Именно этого от законодателей и регуляторов ждут в 2011 г. все, кого затрагивает закон «О персональных данных». Закон требует еще множества подзаконных актов, разъяснений. Возможно, уменьшится количество и тех организаций, которые будут подпадать под его действие. «Мы считаем, что изменения если и возможны, то в части снижения требований к самому высокому классу ИСПДн — классу 1. В первую очередь проблема касается лечебной сферы. Возможно, что для лечебно-профилактических учреждений сделают исключение либо снизят требования к К1», — считает Андрей Решетов.
«Это объективный процесс: требования будут конкретизироваться и адаптироваться под реальные ситуации и текущие сложности правоприменения. Также возможно смягчение требований закона с одновременным ужесточением наказаний за разглашение конфиденциальной информации и утечку персональных данных. По крайней мере такие изменения сейчас обсуждаются», — говорит Игорь Ляпунов.
Роман Писарев также обращает внимание на то, что многие аспекты практической реализации закона остались за его рамками. А именно: какой набор ПДн достаточен для идентификации субъекта; какова процедура этой идентификации; кем формируется перечень угроз; по каким критериям оценивать достаточность принятых мер и многие другие. В конечном счете, все эти вопросы должны быть четко определены регулирующими документами.
Кирилл Керценбаум считает, что главный недостаток ФЗ-152, который был в нем изначально, — очень жесткие требования по использованию средств защиты и уровню сертификации, которые предъявлялись ко всем компаниям, — уже устранен, требования смягчены, теперь задача законодателей — максимально разъяснить все неочевидные моменты закона.
По мнению Дениса Лирника, в совершенствовании, модернизации и развитии в большей степени нуждается не сам закон, а подходы к защите персональных данных и нормативно-правовая база по смежным направлениям деятельности. Он указывает на несколько проблемных точек. Во-первых, это лицензирование деятельности по вопросам защиты ПДн и обслуживания средств криптографической защиты информации, а именно процедура лицензирования (ФСТЭК и ФСБ) 7 млн. операторов. Еще один вопрос — целесообразность оценки средств защиты на наличие недекларированных возможностей. Сможет ли российский ИТ-рынок (ИСПДн К1) эффективно развиваться без использования передовых общепризнанных решений, которые используются во всем мире? Нерешенная проблема — получение согласия в условиях отсутствия системы электронного документооборота и значимой электронной цифровой подписи в общегосударственном масштабе. Также необходимо урегулировать вопрос трансграничной передачи данных, если совместная работа рекомендуемых к использованию российских средств криптозащиты и широко используемых решений иностранных вендоров невозможна.
Тем не менее главным событием и для ИТ-компаний, и для операторов ПДн, и для госрегуляторов должно стать окончательное завершение «переходного периода» с января 2011 г. Это будет первый шаг к такой нужной всем определенности.
* * *
Итак, в Госдуму внесен законопроект, предлагающий вновь (теперь до 1 января 2012 г.) продлить срок приведения ИСПДн в соответствие с требованиями закона «О персональных данных». Если до Нового года законопроект успеют одобрить Госдума, Совет Федерации и президент, сроки действительно будут перенесены еще на год. С учетом того, что за это время вероятны изменения и в самом законе, выжидательная позиция многих операторов ПДн оказывается вполне разумной. Проблема лишь в том, что бесконечный перенос сроков сам по себе не решит те системные проблемы, о которых говорили наши эксперты. Напротив, все это только подтверждает мнение бизнеса о неопределенности нововведений и не позволяет компаниям поэтапно заниматься реорганизацией своей работы с персональными данными.
* Пока шла работа над номером, Госдума РФ приняла в первом чтении законопроект № 444277-5 «О внесении изменений в статью 25 Федерального закона „О персональных данных“», которым предлагается продлить мораторий на применение положений части 3 статьи 25 Федерального закона «О персональных данных» на срок до 1 января 2012 г.