Точки роста

Бюджет и закон: как выполнить требования ФЗ-152?

Безопасность Госрегулирование Стратегия безопасности Техническая защита Пользователю
мобильная версия

Федеральный закон "О персональных данных" вступает в силу с 1 января 2010. Однако неготовность большинства операторов к его выполнению признают даже государственные органы. Причины этого, а также специфические проблемы с исполнением закона у государственных и коммерческих организаций CNews обсудил с директором департамента ИБ группы "Рамэк" Сергеем Шибковым и начальником отдела комплексных систем безопасности Александром Буяновым.

Интервью с топ-менеджером

Сергей Шибков: Реализация требований закона влечет за собой очень значительные финансовые вложения

CNews: Cогласно недавно опубликованным данным, к концу октября не более 5% операторов уведомили о защите персональных данных. C чем, на ваш взгляд, связана такая массовая неготовность к исполнению закона?

Сергей Шибков: Причины этого лежат на поверхности. Подписание закона о персональных данных было важным условием для вступления России в ВТО. И вот закон подписан, его надо выполнять, но, учитывая российский менталитет, сделать это оказалось непросто. Слишком долго мы “раскачиваемся”.

Для государственных организаций во многих случаях первопричиной промедления оказалось отсутствие финансирования: в этом году в силу сложившейся экономической ситуации средства на решение данной задачи просто не выделялись. В коммерческих организациях ситуация несколько иная. Сейчас они заняли выжидательную позицию и не спешат вкладывать деньги. Ведь до сих пор не решены многие проблемы юридического характера. Нормативные документы, которые должны обеспечивать выполнение закона, до сегодняшнего дня имеют массу неясностей, неточностей. Методики отработаны не в полном объеме. Все это затрудняет выполнение закона.

Существуют и чисто технические проблемы, мешающие реализации ФЗ-152. Задача по обеспечению безопасности персональных данных технически сложна для многих ИТ-структур, особенно государственных. Построение такого рода систем требует специальных знаний. Здесь возникают специфические вопросы, связанные с защитой информации, касающиеся, например, сертификации на отсутствие недекларированных возможностей программных продуктов, которые используются в сфере обработки персональных данных. Зачастую бывает невозможно получить исходные тексты этого ПО, в результате возникают затруднения с сертификацией по недекларированным возможностям.


Сергей Шибков: Выполнение требований ФЗ в госсекторе тормозит отсутствие финансирования в 2009 году

Важно так же отметить, что меры воздействия, применяемые сегодня к лицам, разгласившим персональные данные, незначительны. Для сравнения, в соответствии с федеральным законодательством США, человек, нарушивший закон о неразглашении персональных данных, может лишиться свободы на срок до десяти лет. У нас же пока на практике применяются только административные меры воздействия.

CNews: Какие еще проблемы правового и организационного характера, на ваш взгляд, тормозят исполнение закона?

Сергей Шибков: Некоторые требования закона близки к требованиям по защите информации, содержащей сведения, составляющие государственную тайну. К ним относятся: обязательная сертификация средств защиты и программного обеспечения обработки персональных данных, аттестация по требованиям безопасности информации, защита от побочных электромагнитных излучений и наводок. И здесь мы вновь возвращаемся к вопросу финансов. Реализация данных требований влечет за собой очень значительные финансовые вложения.

Читать далее

История развития компании

1992 год - год основания "Рамэк". Компания создается в целях обеспечения Министерства обороны качественной и надежной компьютерной техникой российского производства.

1992 – 1997 гг. - Открывается представительство в Москве в целях развития и расширения деятельности компании. "Рамэк" становится холдингом и развивает свои компетенции в области работы с крупными корпоративными заказчиками, государственными структурами и силовыми ведомствами. Создается департамент системной интеграции для развития экспертизы в области внедрения информационных систем уровня предприятия.

Читать далее