Разделы

Безопасность

Закон "О персональных данных": причины провала

26 января 2007 года вступил в силу ФЗ "О персональных данных". Однако приватные базы данных как лежали на прилавках, так и продолжают там оставаться. Изменил ли новый закон практику нелегального оборота персональных данных? Нет. Сможет ли он остановить очередные утечки? Вряд ли. По мнению экспертов, закон бессилен, поскольку его требования недостаточно конкретны.

По мнению Владимира Скибы, начальника отдела информационной безопасности ФТС России, ФСТЭК России следует как можно быстрее разработать требования к защите персональных данных. Наиболее оптимальным вариантом стало бы оформление этих требований в виде официального стандарта по безопасности приватной информации. Это снимет многие противоречия и послужит той "дорожной картой", которая сегодня так необходима специалистам по ИТ-безопасности.

Следующим вопросом стало выявление того, насколько сильно необходимо модернизировать ИТ-инфраструктуру организации, чтобы удовлетворить требованиям ФЗ "О персональных данных". Опрос специалистов показал, что большая часть респондентов (47%) считает этот проект достаточно сложным, но выполнимым. При этом информационную систему придется модернизировать довольно сильно. В то же самое время почти треть (32%) опрошенных профессионалов заявила, что такой проект вряд ли можно считать сложным: сильно менять ИТ-инфраструктуру не надо, хотя чуточку повозиться все-таки придется. Еще 7% респондентов высказались за то, что это очень легкий проект, а 14% - за очень сложный. Между тем, усредняя ответы можно сделать вывод, что подавляющее большинство респондентов считает требования ФЗ к защите персональных данных вполне подъемными.

Насколько сильно придется изменять свою ИТ-систему в соответствии с ФЗ

 Насколько сильно придется изменять свою ИТ-систему

Источник: InfoWatch и SecurityLab, 2007

При должном финансировании и конкретизации требований нормативного акта реализация защитных мер в соответствии с ФЗ не должна представлять для российских организаций больших трудностей. Конечно, в некоторых случаях придется внедрять новые продукты и решения. Однако уже сейчас можно утверждать, что эти средства безопасности необходимо внедрить и без участия надзорных органов, так как защита конфиденциальности персональных данных и классифицированной информации в компании является залогом ее успешной деятельности.

На заключительном этапе исследования респондентам было предложено рассказать о своих планах по внедрению технологических решений для защиты персональных данных. Оказалось, что 71% организаций уже запланировал покупку и внедрение такого рода продуктов. При этом лишь 16% компаний имеют все необходимые решения уже сейчас, а 13% не отягощают себя заботами, так как не верят в то, что ФЗ будет работать на практике. Тем не менее, если государство и дальше будет закручивать гайки, то эти 13% автоматически превратятся в провинившиеся компании, которые лихорадочно ищут и внедряют средства защиты.

Планы по внедрению новых ИТ-продуктов для соответствия ФЗ

 Планы по внедрению новых ИТ-продуктов

Источник: InfoWatch и SecurityLab, 2007

Подводя итоги, можно заметить, что подавляющее большинство специалистов (94%) убеждено, что России был просто необходим закон "О персональных данных". В то же самое время 40% опрошенных профессионалов не верят, что закон будет работать на практике. В чем проблема? Оказывается, в недостаточной конкретности требований закона (49%) и нехватки денег на внедрение адекватных систем защиты (20%). Таким образом, уполномоченному органу (ФСТЭК России) необходимо как можно быстрее разработать формальные требования к безопасности персональных данных и опубликовать официальный стандарт, который закрепит положения ФЗ "О персональных данных". Текущие требования это закона большинством голосом (79%) признаны вполне подъемными к реализации. Более того, 71% организаций уже запланировал внедрение новых ИТ-продуктов, позволяющих достичь соответствия с положениями закона.

Олег Пашинин, «Философия.ИТ» — Как в «Росатоме» импортозаместили западную СЭД
Импортонезависимость

Однако это лишь одна сторона медали – с ее помощью государство пытается вести профилактику утечек на уровне тех источников, откуда информация утекает. Между тем, есть еще один важный аспект: нелегальный оборот персональных данных. Ведь не надо даже далеко ходить, чтобы купить приватную базу данных на CD и за довольно скромную цену. Очевидно, что в этом плане ответственность ложится на органы исполнительной власти, у которых теперь появилась законная возможность завести против нелегальных продавцов дело. Правда, именно на этом этапе нам так необходима правоприменительная практика, нарабатывать которую России, судя по всему, придется годами.

Алексей Доля