Защита персональных данных: России нужны жесткость и порядок

Обсуждение инициатив Роскомнадзора, которые касаются регуляции персональных данных, стало одной из ключевых тем круглого стола "Защита персональных данных: от модернизации к исполнению", организованного CNews Analytics и CNews Conferences. Стороны смогли выслушать позиции друг друга и узнать, что регулятор собирается частично либерализировать рынок.

страницы:

Александр Барышников: Качественное обследование порядка обработки ПДн занимает не меньше месяца

По мнению Александра Барышникова, старшего консультанта отдела консалтинга департамента консалтинга и аудита компании "Информзащита", в преддверии обновления законодательства о защите ПДн операторам пора начинать обследование текущего состояния процессов обработки данных и информационных систем.

CNews: Как операторам персональных данных (ПДн) готовиться к появлению новой нормативной базы? Стоит ли сейчас начинать проекты по защите данных?

Александр Барышников: Нормативная база изменяется постоянно с момента выхода закона №152-ФЗ "О персональных данных". В ноябре 2012 года вышло постановление правительства РФ №1119, которое определило для операторов направление по доработке порядка обработки ПДн.

Уже сейчас операторы ПДн должны выполнять переклассификацию ИСПДн в связи с неформальной отменой приказа № 55/86/20 (ставшего известным под названием "приказ трех") и появлением понятного определения классификации по уровням защищенности ПДн. Часть организационных требований при автоматизированной обработке ПДн уже прописана в Постановлении Правительства РФ №1119. Требования по обеспечению безопасности ПДн при неавтоматизированной обработке не поменялись.

С выходом нормативных документов от ФСТЭК России можно будет начать работы по доработке состава организационных и технических мероприятий, необходимых для обеспечения безопасности ПДн. В соответствии с информационным сообщением от 20-го ноября 2012-го года №240/24/4669 ФСТЭК России необходимость доработки относится ко вновь создаваемым или модернизируемым ИСПДн.

Любой проект по защите ПДн должен начинаться с обследования текущего состояния процессов обработки данных и информационных систем, задействованных в этих процессах. Как правило, качественное обследование порядка обработки ПДн занимает не меньше месяца. Требования подзаконных актов от ФСТЭК России на этот этап работ влияют слабо. Поэтому, поскольку новые документы от ФСТЭК должны появиться как раз в течение месяца, к проектам по защите ПДн можно приступать уже сейчас.

Если говорить о проектировании системы защиты ПДн, то необходимо ждать выхода новых подзаконных актов от ФСТЭК России. Можно строить предположения и гадать на кофейной гуще, что будет написано в этих документах. Но пока они официально не опубликованы, проектировать систему защиты ПДн нельзя.

CNews: Как появление отдельных отраслевых стандартов влияет на проекты, связанные с защитой ПДн? Что для вас меняется?

Александр Барышников: После появления новых отраслевых стандартов, с одной стороны, у операторов появится возможность учитывать специфику своей деятельности при защите ПДн, они смогут более надежно защищать обрабатываемые данные. С другой – некоторые недобросовестные операторы попытаются с помощью отраслевого стандарта смягчить требования по защите ПДн. В этом случае возникают риски несогласия с этим регуляторов, которые нужно будет учитывать.

Последний пример характерен для известного банковского стандарта СТО БР ИББС. При его принятии на банк налагаются некоторые требования по обеспечению защиты ПДн. Однако в некоторых областях стандарт "смягчает" требования по безопасности, что не соответствует законодательству.

CNews: Как повлияет на рынок решений по защите ПДн планируемое серьезное увеличение штрафов за нарушение правил обработки такой информации?

Александр Барышников: Очевидно, что рынок вырастет. Уже сейчас операторы, которые не подали в Роскомнадзор до 1 января 2013 года дополнительную информацию, получили соответствующие напоминания от регулятора. Это заставило их проявить активность, обратиться за помощью к консультантам.

Если посмотреть на результаты проверок, опубликованные на официальном портале Роскомнадзора, то можно увидеть, сколько вынесено судебных решений о назначении штрафов или предупреждений. В дальнейшем этим операторам в случае невыполнения законного предписания органа, осуществляющего проверку, может быть назначен штраф до 500 тыс. рублей в соответствии со статьей 19.5 КоАП РФ. А если произойдет повышение штрафов, то активность операторов, очевидно, еще больше усилится, что приведет к еще более высокому спросу на услуги консультантов по ПДн.

страницы: