Спецпроекты

Безопасность Госрегулирование Стратегия безопасности Техническая защита Пользователю

Бюджет и закон: как выполнить требования ФЗ-152?

Федеральный закон "О персональных данных" вступает в силу с 1 января 2010. Однако неготовность большинства операторов к его выполнению признают даже государственные органы. Причины этого, а также специфические проблемы с исполнением закона у государственных и коммерческих организаций CNews обсудил с директором департамента ИБ группы "Рамэк" Сергеем Шибковым и начальником отдела комплексных систем безопасности Александром Буяновым.

Интервью с топ-менеджером

Сергей Шибков: Реализация требований закона влечет за собой очень значительные финансовые вложения

CNews: Cогласно недавно опубликованным данным, к концу октября не более 5% операторов уведомили о защите персональных данных. C чем, на ваш взгляд, связана такая массовая неготовность к исполнению закона?

Сергей Шибков: Причины этого лежат на поверхности. Подписание закона о персональных данных было важным условием для вступления России в ВТО. И вот закон подписан, его надо выполнять, но, учитывая российский менталитет, сделать это оказалось непросто. Слишком долго мы “раскачиваемся”.

Для государственных организаций во многих случаях первопричиной промедления оказалось отсутствие финансирования: в этом году в силу сложившейся экономической ситуации средства на решение данной задачи просто не выделялись. В коммерческих организациях ситуация несколько иная. Сейчас они заняли выжидательную позицию и не спешат вкладывать деньги. Ведь до сих пор не решены многие проблемы юридического характера. Нормативные документы, которые должны обеспечивать выполнение закона, до сегодняшнего дня имеют массу неясностей, неточностей. Методики отработаны не в полном объеме. Все это затрудняет выполнение закона.

Существуют и чисто технические проблемы, мешающие реализации ФЗ-152. Задача по обеспечению безопасности персональных данных технически сложна для многих ИТ-структур, особенно государственных. Построение такого рода систем требует специальных знаний. Здесь возникают специфические вопросы, связанные с защитой информации, касающиеся, например, сертификации на отсутствие недекларированных возможностей программных продуктов, которые используются в сфере обработки персональных данных. Зачастую бывает невозможно получить исходные тексты этого ПО, в результате возникают затруднения с сертификацией по недекларированным возможностям.


Сергей Шибков: Выполнение требований ФЗ в госсекторе тормозит отсутствие финансирования в 2009 году

Важно так же отметить, что меры воздействия, применяемые сегодня к лицам, разгласившим персональные данные, незначительны. Для сравнения, в соответствии с федеральным законодательством США, человек, нарушивший закон о неразглашении персональных данных, может лишиться свободы на срок до десяти лет. У нас же пока на практике применяются только административные меры воздействия.

CNews: Какие еще проблемы правового и организационного характера, на ваш взгляд, тормозят исполнение закона?

Сергей Шибков: Некоторые требования закона близки к требованиям по защите информации, содержащей сведения, составляющие государственную тайну. К ним относятся: обязательная сертификация средств защиты и программного обеспечения обработки персональных данных, аттестация по требованиям безопасности информации, защита от побочных электромагнитных излучений и наводок. И здесь мы вновь возвращаемся к вопросу финансов. Реализация данных требований влечет за собой очень значительные финансовые вложения.

Кроме того, немаловажным фактором является отсутствие у оператора персональных данных компетентного персонала в вопросах информационной безопасности. Возьмем, к примеру, обычную поликлинику. Зачастую там нет даже ИТ-специалиста, что уж говорить о наличии специалиста по информационной безопасности? Это серьезная проблема для многих государственных предприятий и небольших компаний.

CNews: Как вы оцениваете потенциал этого рынка?

Сергей Шибков: Потенциал гигантский. По предварительным оценкам, на сегодняшний день в Российской Федерации порядка семи миллионов операторов, обрабатывающих персональные данные. Практически каждый гражданин страны в той или иной степени вовлечен в эту систему обработки. Это и медицина, и страхование, и административные органы. Если смотреть со стороны системного интегратора, то рынок огромен, а вот финансовых средств, как говорилось выше, у потенциальных заказчиков для реализации задач по защите персональных данных пока нет. Стоит отметить, что сейчас мы получаем большое количество заявок из всех регионов на ориентировочный расчет стоимости по созданию СЗПДн. Скорее всего, в этой области стоит ожидать каких-то изменений к следующему году, когда госучреждения получат бюджеты под создание систем защиты персональных данных, а коммерческие структуры сориентируются, в каком направлении им все же двигаться для выполнения требований ФЗ-152.

CNews: Насколько затратным, по вашим оценкам, может стать исполнение требований закона для СМБ, а также для государственных предприятий?

Александр Буянов: Если говорить о затратах на организацию защиты персональных данных, то даже для крупных предприятий это недешево: речь идет о десятках миллионов рублей. Снизить затраты довольно сложно, так как информационные системы средних и крупных предприятий почти всегда имеют свою специфику, что ведет к появлению множества специальных угроз. Поэтому и для средних предприятий эта процедура будет достаточно затратной.


Александр Буянов: Довольно сложно снизить затраты на исполнение требований закона о персональных данных

Малые же предприятия, на наш взгляд, будут стараться всеми путями уходить от обеспечения требований закона о персональных данных: занижать класс информационной системы, каким-то образом разделять данные, локализовывать их обработку и так далее.

CNews: А у более крупных предприятий есть какие-то возможности уйти от исполнения закона?

Александр Буянов: Нет. В полной степени уйти не получится. Можно, конечно, снизить класс защищенности системы, учитывая, что существуют различные методы обработки персональных данных. Допустим, мы можем обезличить персональные данные, сегментировать систему и разнести обезличенные персональные данные по разным сегментам. При таком подходе достаточно выполнить все требования по защите кодификатора-классификатора, собирающего эти данные вместе, что даст определенное снижение расходов на приобретение средств защиты и проведение аттестации. Однако такой подход к защите персональных данных не регламентирован, не определен и сопряжен с дополнительными трудностями по изменению технологии обработки персональных данных и архитектуры информационной системы.

Короткая ссылка