Во сколько обойдется бизнесу закон "О персональных данных"

Осенью 2004 года на московских радиорынках всего за $300 можно было купить базу данных о доходах москвичей и жителей Подмосковья в 1999-2002 годах. Вся информация умещалась на четырех DVD-дисках. В базе содержалось около 7 млн позиций, включавших ФИО человека, его паспортные данные, домашний адрес, ИНН и, главное, точный размер полученных доходов с указанием их источников. Журналисты быстро вычислили источник утечки - Пенсионный фонд. Само ведомство от предъявленных претензий долго открещивалось.

С тех пор государство активно взялось за предотвращение таких инцидентов. В 2006 году был принят закон "О персональных данных", согласно которому компании, оперирующие персональными данными, должны были до 1 января 2010 года внедрить у себя специальные информационные системы по их защите. Под Новый год Госдума приняла к закону поправки, дав компаниям еще год на приведение своих систем в соответствие требованиям закона.

Кого касается закон

По данным Роскомнадзора (служба в структуре Минкомсвязи, осуществляющая надзор за соблюдением закона "О персональных данных"), около 4 млн организаций являются операторами персональных данных той или иной категории. Это страховые компании, банки, больницы, госучреждения, сотовые операторы, туристические фирмы, интернет-магазины - все, кто работает с персональной информацией клиентов. Действие закона не распространяется на обработку данных физлицами для личных или семейных нужд, на документы Архивного фонда, обработку сведений о физлицах для включения в единый государственный реестр индивидуальных предпринимателей и на обработку персональных данных, составляющих гостайну.

Интересная деталь: только 80 000 организаций на данный момент уведомили ведомство, что обрабатывают персональные данные и внесены в соответствующий реестр. "Видимо, кто-то из них считает, что, не зарегистрировавшись, может избежать контроля. Это ошибочное мнение", - сказал Forbes представитель Роскомнадзора Михаил Воробьев. Почему компании не спешат заявить о себе надзирающим органам?

"Закон - достаточно сложный документ, пока еще требующий доработки и детализации", - дипломатично описывает нововведение директор по информационным технологиям страховой компании РОСНО Сергей Пегасов. "Все сообщество очень обрадовалось переносу сроков. Нормативные документы к закону похожи на кандидатскую диссертацию 20-летней давности. Требования этого закона местами более трудноисполнимы, чем требования закона "О государственной тайне", - говорит представитель отдела информационной безопасности одного из банков.

Что требуется сделать и сколько это стоит

Прежде чем приступить к обработке персональных данных, компания должна разработать и принять порядка 20 внутренних положений и приказов, регламентирующих процесс. Далее необходимо провести аудит состояния защищенности информационных систем. После него можно строить саму систему защиты. Если вы решили не обращаться к помощи сторонних компаний-интеграторов, приготовьтесь получить лицензии в ФСБ и Федеральной службе по техническому и экспортному контролю (ФСТЭК). Эти ведомства осуществляют надзор в области криптографической и технической защиты информации.

Итог: малому и среднему бизнесу полное внедрение системы обойдется в 0,2-1 млн рублей. Для крупных компаний - банков и сотовых операторов - полная стоимость работ может доходить и до 10 млн рублей. Полный цикл исполнения проекта займет от 3 месяцев до 1 года. "Нарушен основной принцип защиты информации: средства, которые надо выделить на ее защиту, больше, чем стоимость самой информации", - сетует один из участников рынка, занявший выжидательную позицию.

Защитит ли закон персональные данные

Некоторые операторы данных, как рассказывают эксперты борющейся с информационными утечками компании InfoWatch, хитрят и переводят де-юре некоторую часть делопроизводства на бумагу: для неавтоматизированной обработки данных требования проще. А многие не делают ничего - штрафы, которые Роскомнадзор может наложить в ходе проверки, составляют не более 20 000 рублей. Лоббисты же крупных компаний обивают пороги профильных ведомств. Роскомнадзор подготовил уже более десятка поправок, говорит представитель службы Михаил Воробьев, цель которых - сделать закон более рабочим и минимизировать расходы компаний.

А пока служба ведет разъяснительную работу. В октябре 2009 года создан "Портал персональных данных", на форуме которого обсуждаются вопросы, связанные с работой с персональными данными.

Но никакие технические средства не гарантируют защиты от утечек, связанных с человеческим фактором. "Если смотреть на мировую статистику, похищаются персональные данные чаще всего (а такие инциденты исчисляются тысячами в год) именно допущенными к работе с ними сотрудниками, самостоятельно или в сговоре с внешними злоумышленниками, - говорит Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch. - А вот случаев хищения персональных данных путем снятия акустической информации с вибрирующих стекол офисов не зарегистрировано".

По материалам журнала Бизнесмен - www.businessman.su

21.01.2010 00:00:00