Узкая ниша огромных возможностей
Автор: Константин Геращенко
В этом году одной из самых популярных и обсуждаемых тем, разумеется, не считая кризиса, стал закон о персональных данных (№ 152-ФЗ). Повышенное внимание к нему со стороны игроков рынка, а в ряде случаев и настороженное отношение понятны. Во-первых, этот закон затрагивает в той или иной степени все компании, учреждения и предприятия, как коммерческие, так и государственные, поскольку они являются операторами персональных данных (ПДн). Во-вторых, для приведения своих информационных систем в соответствие с требованиями закона большинству операторов ПДн придется потратить силы, время и деньги, подчас весьма значительные. И наконец, в-третьих, для реализации необходимых для этого мероприятий осталось совсем мало времени — до 1 января
«Что касается проверок, то такие опасения абсолютно напрасны, — утверждает Геннадий Емельянов, председатель совета „Ассоциации защиты информации“. — Не так давно по инициативе Президента РФ были приняты решения по ограничению проверок компаний в течение года. На всех форумах, проводившихся по тематике ПДн, участвовавшие в них представители регуляторов (Роскомнадзор, ФСТЭК и ФСБ) давали весьма толковые разъяснения по содержанию проверок, из которых следует, что никто никого „душить“ не собирается. Другое дело — жалобы субъектов ПДн на те или иные нарушения операторов и конкретно жалобы, заведомо необъективные, инспирированные конкурентами и т. п. Не берусь дать рецепты на все случаи жизни, но здесь, по крайней мере, можно было бы пойти по пути наказания таких лиц, если будет доказано, что их действия инспирированы».
По мнению Вячеслава Медведева, специалиста отдела развития компании «Доктор Веб», ситуация характеризуется большой неопределенностью. «Необходимость приведения ИСПДн к требованиям закона не отрицает ни один участник рынка, — считает он. — Однако если большинство вендоров не только готовы, но и активно продвигают свои услуги в области защиты ПДн, то многие клиенты в условиях кризиса не в состоянии пойти на крупные расходы ради модернизации информационных систем».
Как считает Андрей Решетов, руководитель Департамента комплексных решений компании «Аквариус», большинство организаций не знакомы в полной мере с нормативной базой и методическими рекомендациями ФСТЭК и не представляют себе даже алгоритма защиты ПДн. Другой сдерживающий фактор — финансовый. «По нашей оценке, весь комплекс работ по деньгам (особенно на малых ИС) в полтора раза превосходит стоимость создания самой информационной системы, — продолжает Решетов. — Что, естественно, не по силам для регионов России. Даже если бы такие деньги и нашлись, то, к сожалению, пока нет специалистов, которые в состоянии потом ИСПДн обслуживать. В штатном расписании тех же районных больниц и поликлиник соответствующих ставок нет».
Андрей Решетов объясняет причину неразберихи и отставания от графика: «Большинство операторов ПДн начали активную подготовительную работу только в прошлом или даже в этом году, когда стала доступна нормативная база и появилось более ясное понимание необходимых для соблюдения требований закона мер».
Если строго следовать закону, в специализированном прикладном программном обеспечении, предусматривающем обработку ПДн, меры по безопасности обработки данных должны быть реализованы уже на этапе написания соответствующих программ.