In English

Что сулят поправки в ФЗ «О персональных данных» заказчикам СЭД?

16.08.2011, Пашова Алла
Издание: iBusiness.ru
В июле были подписаны Президентом и опубликованы поправки в федеральный закон «О персональных данных», которые конкретизируют понятия «персональные данные», «оператор», «обработка персональных данных», а также определяют случаи, допускающие обработку ПД, обязанности оператора, требования к хранению и обеспечению безопасности информации. Новая версия закона в определенной мере упрощает требования к операторам. Это, к примеру, касается активностей, связанных с получением согласия на обработку и передачу ПД на аутсорсинг. Расширено число случаев, не требующих получения согласия от субъекта. В то же время, ФЗ предусматривает ряд требований к защите данных, способных изменить политику операторов. Члены Экспертного Совета проекта DOCFLOW и их представители рассказали о последствиях, к которым могут привести внесенные в закон изменения.

И легче, и сложнее


Наталья Храмцовская, ведущий эксперт компании ЭОС по управлению документацией: «Как мне кажется, права субъекта персональных данных несколько урезаются (в частности, резко увеличиваются сроки реагирования на заявления), а жизнь операторов отчасти облегчается, а отчасти усложняется, поскольку целый ряд требований к защите ПД перенесен из ведомственных нормативных и методических документов прямо в закон; появилось требование об обязательном предоставлении неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД и т.п. Поправки, как мне кажется, могут оказаться очень неприятным сюрпризом для малых и средних предприятий, поскольку им всем теперь придется защищать ПД почти что на уровне государственной тайны. Также, судя по всему, могут оказаться недействительными заключенные ранее с таким трудом отраслевые соглашения, смягчившие требования к защите персональных данных до относительно разумного уровня для школ, поликлиник и т.п. По-прежнему положения, регламентирующие порядок защиты ПД, не учитывают величину ущерба, возможного вследствие их раскрытия».

Вместе с тем, у экспертов остаются вопросы относительно того, как новые требования будут обеспечиваться в реальности, какие пояснения к основному закону будут установлены позже новыми подзаконными актами – постановлениями Правительства, ФСТЭК, ФСБ и Роскомнадзора.

Андрей Лубенец, Старший управляющий по корпоративным проектам, ABBYY Россия: «П.п. 1 и 2 Статьи 3 определяют понятия «персональные данные» и «оператор». В соответствии с этими определениями «оператором персональных данных» становится каждая государственная и муниципальная организация, каждое юридическое лицо и даже физическое лицо. Каждое юридическое лицо независимо от размера, от 1 сотрудника до 1 млн, так как у каждой организации, как минимум, есть персональные данные сотрудников и клиентская база. А юридических лиц в нашей стране более 3 млн. И каждой организации необходимо соответствовать требованиям данного ФЗ. Затрудняюсь представить, как на практике будут выглядеть меры по соответствию для компании, скажем, с численностью 10 человек. Надо ли каждой такой компании проходить аттестацию на соответствие? Кто в нашей стране будет выполнять аттестации? Сколько надо рабочих мест и средств для обеспечения «поголовной» аттестации?

На мой взгляд было бы эффективнее законодательно определить меру ответственности за раскрытие персональных данных, а меры по обеспечению сохранности ПД оставить на усмотрение оператора. Это был бы саморегулирующийся механизм, и каждая организация выбирала бы адекватные способы защиты информации - условно скажем, малое предприятие хранило бы документы и базы с ПД в сейфе под замком, а оператор сотовой связи внедрял бы дорогостоящие средства шифрования и защиты данных.

Но мы имеем то, что имеем, и к принятому Закону необходимы разъяснения и рекомендации, какие меры необходимо предпринять каждому типу организации для соответствия ФЗ. К слову сказать, следуя букве Закона, каждый человек становится ответственным за сохранность своей телефонной книги, и нарушит ли он Закон, если сообщит другу телефон парикмахера без его предварительного согласия (ст. 7. Конфиденциальность ПД)?»

Павел Овчинников, Менеджер по маркетингу, компания DIRECTUM: «Если говорить о существующей базе, то за последние год-два произошли довольно существенные изменения в сторону либерализации требований - было прекращено действие двух самых одиозных документов. Тем не менее, остаются формальные требования применять достаточно дорогостоящие средства защиты, строить модель угроз, разрабатывать внутренние документы. Не всегда у организации есть компетенция в подобного рода вопросах – придется или принимать на работу специалистов по безопасности, либо воспользоваться специализированными услугами по защите информации. Не могу отделаться от мысли, что цель поправок – сохранить бизнес и обеспечить нерыночные условия для роста организациям, специализирующихся на защите информации, а также трудоустроить бывших работников силовых структур»

Эксперты предполагают, что можно ожидать рост стоимости внедрения проектов СЭД, но связан он будет не столько с качественными изменениями СЭД или стоимости их интеграции, сколько с объемом нового функционала по обработке ПД. А этот показатель индивидуален для каждой организации.

Компании, проводящие прогрессивную политику в отношении электронного документооборота, вряд ли испытают критичные затруднения, однако блоку задач, посвященных обработке данных, прийдется уделить чуть больше внимания, и, возможно, потребуется увеличить бюджет. Организации, которые прежде не занимались вопросами защиты ПД вообще, столкнутся с существенными новыми затратами.

Дмитрий Романов, директор по развитию технологий информационного менеджмента компании АйТи, ожидает, что «вначале будет небольшой рост стоимости проектов. Это связано с тем, что в проектах, которые начинались некоторое время тому назад, возможно увеличение стоимости работ, связанных с защитой персональных данных. А в целом, через некоторое время, общая ситуация на рынке вернется к прежнему состоянию, поскольку системы будут доработаны и смогут поддерживать требования закона в полном объеме».

Павел Овчинников не ставит знак равенства между СЭД и персональными данными: «Не всегда в СЭД хранятся персональные данные, и не все персональные данные хранятся в СЭД. В ходе внедрения программного продукта, обрабатывающего в том числе и персональные данные, думаю, всегда будут возникать вопросы: кто и как будет обеспечивать защиту персональных данных. У вендоров выбор, по сути, небольшой: получать новую компетенцию, взять в партнеры организацию, оказывающую услуги по защите информации, или же потерять проект. Если потребуются дополнительные услуги – возрастет и стоимость проекта для заказчика».

Количество запросов к производителям СЭД о содействии в приведении ИС в соответствие с новыми требованиями ФЗ может вырасти, однако в отношении степени готовности производителей решений к внесенным изменениям мнения специалистов расходятся.

Наталья Храмцовская напоминает, что подпункт 3 п.2 новой редакции ст.19 о мерах по обеспечению безопасности данных при их обработке говорит о том, что обеспечение безопасности ПД достигается, в частности, «применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации». «Сомневаюсь, что все отечественные продукты готовы к такого рода требованиям», - говорит Наталья.

По оценке Дмитрия Романова, большинство программных продуктов российских производителей соответствует новым требованиям, которые появились не вчера и давно всем известны. «К тому же, никаких сверхъестественных требований к операционным системам федеральный закон не выдвигает», - заключает Дмитрий.

«Функции, которые позволяют обеспечить приватность персональных данных при сканировании и верификации документов, уже реализованы в программных продуктах, - уверяет Андрей Лубенец. - Изначально подобные выдвигались европейскими и американскими заказчиками, а теперь мы можем применить эти функции и в России».

На Западном фронте - без перемен


Российские вендоры не боятся, что поправки, внесенные в ФЗ, сделают их продукты менее привлекательным по сравнению с зарубежным ПО. «Западные компании привыкли иметь дело со своим законодательством, и их программное обеспечение приводилось в соответствие именно с ним. Теперь же им придется удовлетворять и требованиям российского законодательства», - отмечает Дмитрий Романов.

Наталья Храмцовская также не считает, что поправки дадут явное преимущество зарубежным продуктам: «Вполне может произойти и обратное – очень многое будет зависеть от политики регуляторов. За рубежом используются иные подходы к защите персональных данных. Организации там наказываются за реально причиненный ущерб, а не за отсутствие политик и использование несертифицированного ПО, поэтому, возможно, западным продуктам потребуется больше усилий, чтобы соответствовать требования нашего законодательства».

«Выполнение требований 152-ФЗ по обработке персональных данных не заканчивается только программным продуктом российских производителей. «Новая» версия ФЗ не дает никаких преимуществ западным компаниям на российском рынке», - соглашается Владимир Горностаев.

Проверочная работа


Начинать приведение информсистем в соответствие с требованиями нового ФЗ следует, по мнению экспертов, с тщательного аудита имеющихся ресурсов и выявления всего массива используемых ПД.

Дмитрий Романов: «Совершенно однозначно, компаниям, чьи информационные системы не будут удовлетворять требованиям ФЗ, предстоит привести их в соответствие с законодательством. Необходимо будет провести процесс доработки. И это касается не только систем электронного документооборота, но и огромного количества других ИС, которые взаимодействуют с персональными данными. Для приведения систем в надлежащий вид, в первую очередь, необходимо будет провести аудит имеющихся ИС, выявить персональные данные. Далее последует разработка концепции соответствия корпоративных ИС требованиям закона о персональных данных и определение необходимых технических и организационных мероприятий. Затем, если требуется установка новой версии системы или обновление текущей, необходимо обратиться к вендору. Вполне возможно, что система уже давно готова к новым требованиям и необходимо просто включить определенный функционал».

Владимир Горностаев, предполагает, что большинство организаций уже проводили необходимую работу по приведению своих систем в соответствие с требованиями 152-ФЗ.

Пока не приняты новые подзаконные акты, следует проанализировать действующие информационные системы для выявления потенциала и возможных рисков, согласно действующему законодательству.

Павел Овчинников: «Закон не устанавливает, какие именно меры по защите персональных данных должны применяться тем или иным оператором – эти требования устанавливаются на уровне подзаконных актов. В настоящий момент действуют Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных», «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Новых подзаконных актов не принято, так что требования для операторов не изменились».

Наталья Храмцовская предлагает «подождать и посмотреть, как будут развиваться события. Суровость российских законов нередко компенсируется возможностью их не выполнять (это мы наблюдали на примере практической реализации первой редакции закона). Во всяком случае, для тех, кто собирается в полной мере защитить обрабатываемые ПД, порядок действий, скорее всего, останется прежним»

Долой самодеятельность?


За время, прошедшее с момента вступления в силу прошлой версии ФЗ, многие крупные организации получили ресурс для самостоятельного развития информсистем. Средним и мелким компаниям, вполне возможно, потребуется помощь внешних консультантов.

Наталья Храмцовская: «Массовый небогатый клиент не сможет оплачивать дорогостоящие консультационные услуги, и ему придется решать проблему своими силами. В конце концов, большая часть необходимых мер носит не технический, а организационно-правовой характер. Вендоры смогут помогать желающим путем подключения соответствующих технических средств, консультирования, предоставления типовых пакетов документов и т.д. Целый ряд организаций уже несколько лет оказывает услуги по приведению информационных систем в соответствие с требованиями законодательства о ПД, и они наверняка сумеют быстро приспособиться к новым условиям».

Дмитрий Романов: «Если в компании есть эксперты, на должном уровне разбирающиеся в продукте и способные качественно провести необходимые мероприятия, то обращения к вендору не потребуется. Если же таковых нет, то компании, заключившие договор техподдержки, просто получат необходимый функционал с очередным обновлением системы. Заказчику, который отказался от техподдержки или при внедрении использовал заказную разработку, следует обратиться к своему менеджеру и с ним решать все вопросы по приобретению дополнительного функционала».

Павел Овчинников: «В настоящее время операторам, в штате которых нет квалифицированных специалистов по информационной безопасности, будет трудно самостоятельно обеспечить защиту ПД. Помочь им в этом смогут компании, специализирующиеся в этой области, а также интеграторы или вендоры. Последние должны обладать компетенцией в сфере защиты персональных данных, а также всеми необходимыми лицензиями».

Владимир Горностаев напоминает, что к работам стоит привлекать не только специалистов по информационной безопасности и ИТ, но и юристов.

Центральный федеральный округ