|
|
152-ФЗ определил 1 января 2010 года как контрольную дату приведения информационных систем в соответствие с изложенными в нём требованиями.
В отличие от других законов (например, ФЗ «О коммерческой тайне»), требования ФЗ «О персональных данных» обязательны как для коммерческих, так и государственных организаций – практически любая организация, обрабатывающая персональные данные своих сотрудников или клиентов попадает под определение «оператор», рассматриваемое 152-ФЗ. Под обработкой данных, в свою очередь, понимается максимально широкий спектр операций над персональными данными, в том числе только хранение или передача.
Согласно Федеральному закону № 152 «О персональных данных», под персональными данными понимается «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».
Согласно статье 19 Федерального закона, «оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».
В соответствии с положениями закона обработка персональных данных может осуществляться с согласия субъекта в письменной форме, либо подтвержденного электронной цифровой подписью. Исключение составляет обработка персональных данных во исполнение договора, одной из сторон которого является субъект персональных данных.
Нарушителей положений закона ожидает приостановление или прекращение обработки персональных данных, приостановка действия или лишение лицензий, без которых деятельность по обработке персональных данных становится незаконной, вплоть до возбуждения уголовных дел. В качестве уполномоченного органа выступает Роскомнадзор.
Реализация требований 152-ФЗ должна проводиться в несколько этапов и может выполняться силами самой организации, либо при помощи компаний, специализирующихся на оказании такого рода услуг. Из положительных моментов закона специалисты рынка отмечают, что наконец-то удалось привлечь внимание руководства российских компаний к проблеме обеспечения информационной безопасности – если раньше защита информации в компаниях формировалась по остаточному принципу, то сегодня интерес к ней намного выше. Тем не менее, в реализации 152-ФЗ всё еще остается немало «белых пятен». Кризисные явления в экономике, помноженные на «проблему 01.01.10», в свою очередь, активно подогреваемую в СМИ, создавали всё большую напряженность на рынке. В итоге Роскомнадзор признал проблемы операторов по исполнению требований закона и сообщил, что не намерен в ближайшее время переходить к жестким карательным мерам.
По факту многие столкнулись с различными трактовками основных положений Федерального закона в регионах, недостатком разъяснений со стороны государственных регуляторов и избирательным применением закона. Отмечено, что рекомендации со стороны ФСТЭК России по лицензированию деятельности в области технической защиты информации, сертификации средств защиты информации, аттестации ИСПДн подразумевают наличие достаточно объемных материальных и трудовых ресурсов, недоступных бюджетным организациям. Что же касается коммерческих структур, выполнение сегодняшних требований может привести к существенному удорожанию услуг оператора.
Всего к ноябрю 2009 года уведомления в Роскомнадзор подали около 70 тыс. операторов, т.е. порядка 1,8% от ожидаемого количества. По приблизительным подсчетам для снятия противоречивых положений, формулировок и последующих за ними трактовок, необходимо внести изменения в тридцать законодательных актов. И это – не говоря о корректировке самого закона. При том, что компании в своей массе придерживаются выжидательной позиции, и пока нет ясности, как будут проходить проверки по соблюдению требований регулятора, игроки рынка предполагают, что и в 2010 году тема защиты персональных данных будет главным драйвером отрасли, который обеспечит массовый спрос на ИБ-консалтинг и другие сервисы.
