Год отсрочки
Олег Седов, «Директор ИС» №12, 2010
Отсрочка, которую законодатели дали на вступление в полную силу Федерального закона «О защите персональных данных», истекает в конце декабря. Что изменилось за прошедший год? И что удалось сделать за это время операторам персональных данных?
В целом за прошедший год у операторов персональных данных сохранилось непонимание относительно того, что и как надо делать, чтобы обеспечить соблюдение требований закона № 152-ФЗ. У них не было уверенности в том, что инициативы по приведению информационных систем в соответствие этому закону, которые потребовали финансовых затрат и времени, были не напрасными, поэтому некоторые предпочли воспользоваться помощью консультантов, которые смогли убедить заказчиков в своей близости к регуляторам или уполномоченным ими проверяющим структурам. Вероятнее всего, операторы персональных данных рассчитывали на то, что благодаря консультантам, которые находятся «на короткой ноге» с регуляторами, будет проще пройти сертификацию.
Алексей Затопляев, директор по ИТ компании «Бауцентр Рус» и президент Калининградского CIO-клуба, как примечательный факт отмечает появление в течение последнего года сертифицированных решений в области защиты персональных данных — по крайней мере, стало понятно, какое оборудование или программное обеспечение заведомо отвечает требованиям закона № 152-ФЗ. На основе этих решений можно строить свою инфраструктуру. Правда, у операторов персональных данных все равно остается определенная доля сомнений, так как не понятно, как системы, выстроенные на базе сертифицированных решений, будут восприниматься проверяющими органами.
Евгений Модин, руководитель направления консалтинга компании «Аладдин Р.Д.», отмечает, что за последний год значительно возросла нормотворческая активность. В частности, в закон № 152-ФЗ были внесены изменения (в связи с выходом закона № 210-ФЗ) в части признания равнозначности письменного согласия субъекта персональных данных и согласия в форме электронного документа. Кроме того, издан приказ ФСТЭК России № 58 от 05.02.2010 «Положение о методах и способах защиты информации в ИСПДн», который внес значительную ясность в деятельность по защите персональных данных, а также появились отраслевые стандарты организаций, определяющие защиту конфиденциальных данных (не только персональных) в информационных системах. Ярким примером внедрения таких стандартов является принятие и развитие отраслевых документов банковской системы России в целях выполнения требований законодательства в области персональных данных. «Проделанная работа позволяет операторам, обрабатывающим персональные данные, выполнить возложенные на них обязательства по их защите», — подчеркивает Модин.