31.08.2011 23:48
    Поделиться

    Уральских бизнесменов проверят на предмет защиты персональных данных

    Уральские компании не готовы усилить защиту персональных данных клиентов

    Летом 2011 года вступили в силу поправки в федеральный закон "О персональных данных". Они ужесточают требования к защите личной информации россиян и ответственность за ее сохранность. Однако пока лишь немногие организации готовы работать по новым правилам.

    Согласно новой редакции закона, операторы - то есть все, кто занимается хранением, обработкой и передачей персональных сведений, - должны использовать средства защиты информации, одобренные уполномоченными органами - Федеральной службой безопасности и Федеральной службой по техническому и экспортному контролю (ФСБ и ФСТЭК). Причем если раньше спецслужбы рекомендовали применять конкретные, чаще всего дорогостоящие способы и технологии, то сейчас организации могут самостоятельно решать, как обеспечивать сохранность конфиденциальных данных.

    Операторы также обязаны установить правила доступа к информации, наладить регистрацию и учет всех действий, которые с ней совершаются. Кроме того, фиксировать каждый случай несанкционированного доступа к своим базам и восстанавливать их, если те повреждены или украдены в результате взлома. При этом поправки дают право гражданам требовать возмещения морального вреда и убытков в случае незаконного распространения сведений о них.

    Ужесточение законодательства более чем актуально. Так, совсем недавно у одного из российских сотовых операторов произошла масштабная утечка информации: номера телефонов и sms-сообщения можно было без труда найти в Интернете через популярные поисковики. Вскоре в Сети оказались и сведения о покупателях виртуальных магазинов. При этом и в Интернете, и просто на углу открыто продаются различные базы данных: паспортные, телефонные, автомобильные, истории болезни, сведения об имущественном положении...

    Ужесточение законодательства затрагивает десятки тысяч организаций - операторов мобильной связи, банки, гостиницы, медицинские центры, туристические агентства - всех тех, кто собирает данные множества людей и потенциально может стать источником их распространения.

    И хотя принятие поправок несколько раз откладывалось и они фактически вступили в силу на полтора года позже, чем планировалось, далеко не все бизнес-структуры успели подготовиться. А некоторые и не подумали это сделать. По данным управления Роскомнадзора по Свердловской области, сегодня в региональном реестре операторов, осуществляющих обработку персональных данных, зарегистрировано около четырех тысяч организаций. Это совсем не много, причем значительная часть - это органы государственной и муниципальной власти, а не предприниматели. В то время как на Среднем Урале насчитывается 188 тысяч субъектов малого и среднего бизнеса. Впрочем, отмечают в ведомстве, некоторые компании намеренно не регистрируются в реестре: боятся лишнего внимания к своему бизнесу. Но это не более чем заблуждение, уверяют чиновники.

    Корреспондент "РГ" опросил не один десяток руководителей различных свердловских фирм, чтобы выяснить, готовы ли они работать по новым правилам. Оказалось, что защиту информации преимущественно усилили региональные представительства крупных российских компаний, солидные региональные организации, а также те, кто и раньше радел о безопасности своих клиентских баз, например, банки.

    Этот вывод подтверждают сотрудники уральских центров, которые занимаются внедрением систем безопасности. Они утверждают, что вала обращений не наблюдалось ни до, ни после принятия поправок к закону. Основная масса клиентов - это по-прежнему крупный бизнес. В основном представители банковского сектора и нефтегазового комплекса.

    Управляющий партнер юридической компании "De fendo" Елена Матерухина отмечает, что к изменениям в законодательстве оказались также готовы компании, ориентированные на зарубежный рынок. Например, российские дистрибьюторы и международные фирмы с филиалами в России. Они еще раньше были вынуждены предпринимать необходимые меры для обеспечения сохранности персональных данных своих сотрудников и клиентов - это является обязательным условием для заключения международных контрактов.

    Как сообщили в организациях, которые все-таки усилили защиту информации, в среднем работа над выстраиванием новой системы безопасности продлилась от одного года до двух лет - в зависимости от величины бизнеса и объема обрабатываемых данных.

    - Екатеринбургский единый расчетный центр начал подготовку более полутора лет назад, - рассказывает заместитель директора центра по информационным технологиям Максим Миронов. - Все источники информации в компании были структурированы таким образом, чтобы каждый сотрудник имел доступ только к тем системам, которые ему нужны в работе. После того как было получено оборудование и программное обеспечение (сервер контроля доступа, сервер предотвращения вторжений, средства криптографической защиты), центр прошел проверку ФСТЭК и ФСБ. Затем последовал этап установки и настройки оборудования, предварительных, а затем аттестационных испытаний, который занял около четырех месяцев.

    При этом все собеседники отметили, что затраты на информационную "блокаду" оказались внушительными. Например, глава департамента внешних коммуникаций "Ростелеком - Урал" Олеся Касперович сообщила, что компания потратила несколько миллиардов рублей. Хотя расходы организаций поменьше, конечно же, были скромнее - от 100 до 500 тысяч рублей.

    К слову, заниматься усилением информационной безопасности многие предприятия не стали именно из-за большой финансовой нагрузки. Некоторые руководители, по их собственному признанию, подсчитали, что дешевле заплатить штраф, нежели нести такие траты. Впрочем, Елена Матерухина считает, что малому и среднему бизнесу по большому счету и не требуются серьезные методы защиты:

    - Один из наших клиентов, занимающийся выпуском на российский рынок импортозамещающей продукции, ограничился разработкой правил обработки и доступа к персональным сведениям. Так как штат компании небольшой, внедрять дорогостоящую систему информационной защиты действительно не имеет смысла, и этих мер будет вполне достаточно. С функцией хранения личных данных справится бухгалтер, - отмечает эксперт.

    Малой кровью обошлись и тур­агентства. Например, директор группы компаний Ольга Гуляр говорит, что фирме достаточно было внести изменения в типовые договоры, которые заключаются с клиентами при приобретении тура. Теперь они просто расписываются в том, что согласны на обработку персональных данных. Бумаги готовились силами штатного юриста, так что значительных материальных затрат не потребовалось.

    Тем не менее в Свердловской области оказалось немало организаций, которые даже этого не сделали. Судя по опросу "РГ", хуже всего дела у интернет-магазинов, гостиниц, предприятий общепита и сферы обслуживания, медицинских центров. Некоторые директора признались, что вообще узнали о новых требованиях… от корреспондента "РГ". Другие заявили, что не готовы к новым правилам и вряд ли будут под них подстраиваться. Так, руководитель одной из екатеринбургских кофеен, в которой для получения накопительной карты требуют от посетителей заполнить анкеты, заметил, что если клиент собственноручно вносит свои данные - значит, согласен на их обработку. И пока не потребуют надзорные органы, заведение не будет ничего менять. Между тем в областном управлении Роскомнадзора утверждают, что первые проверки начнутся уже осенью. Эксперты считают, что именно тогда и полетят головы.

    Впрочем, некоторые представители бизнеса объяснили, что пока не могут подстроиться под новое законодательство из-за проблем с его трактовкой. Юрист группы медицинских компаний Екатерина Симакова поясняет, что организации, обрабатывающие сведения о своих сотрудниках только в рамках трудового договора, могут не вставать на учет в Роскомнадзоре как операторы персональных данных. Но проблема в том, что форма Т-2, которую граждане обязательно заполняют при поступлении на работу, содержит раздел о родственниках. Надзорное ведомство посчитало: раз работодатель получает информацию о людях, с которыми его не связывают трудовые отношения, значит, он считается оператором и должен встать на учет.

    - Получается, исключением невозможно воспользоваться - все компании должны регистрироваться в Реестре операторов, - замечает Симакова. - А это означает, что им не избежать проверок. В результате фирмам придется либо платить штрафы, либо изыскивать средства на усиление защиты. И то, и другое для малого бизнеса - непосильная ноша. По нашим подсчетам, только информационная защита одного рабочего места обходится в 25 тысяч рублей. И это не считая расходов на лицензионное обеспечение. Да и сможет ли Роскомнадзор проверить такое количество операторов?

    Кроме того, юрист считает неоправданным требование к клиникам дополнительно брать согласие пациента на обработку специальных сведений о его здоровье и биометрических данных, к которым, например, относятся рентгеновские снимки. По мнению Екатерины Симаковой, если клиент подписывает договор на оказание медицинской услуги, он таким образом уже выражает согласие на обработку информации о его здоровье и лишние разрешения не требуются. Однако надзорное ведомство полагает иначе, и с этим придется считаться.

    Специалисты по информационным технологиям и вовсе придерживаются мнения, что новое законодательство само по себе не способно уберечь персональную информацию от неразглашения. Оно затрагивает только техническую сторону работы с конфиденциальными данными. Между тем зачастую личные сведения людей попадают в открытый доступ не по причине недостаточной технической защищенности. Виной тому - недобросовестные сотрудники, которые копируют их и передают в третьи руки. С этим согласны представители бизнеса. Они считают, что информация об их клиентах чаще всего не представляет интереса для мошенников, за исключением, пожалуй, баз данных банков или сотовых операторов. По их мнению, куда более востребованы базы данных госорганов - например, ГИБДД.

    Мнение

    Дмитрий Раскатов, заместитель директора филиала - технический директор филиала ЗАО "Энвижн Груп" Энвижн-Урал:

    - Готовность уральских компаний к защите персональных данных (ПД) своих клиентов действительно далека от совершенства.

    Поправки к Федеральному закону должны дать очередной толчок к изменению и развитию нормативно-правовой базы в области защиты персональных данных, так как самостоятельно закон не определяет, какие именно меры должны быть приняты тем или иным оператором персональных данных. Эти требования определяются на уровне подзаконных актов. Но подзаконные акты не "успевают" за изменениями основного документа. В новой версии Федерального закона дается указание на создание соответствующих документов регуляторами.

    Из-за постоянно изменяющейся нормативной базы в области защиты персональных данных все еще нет четкого понимания, что же является достаточным и необходимым минимумом, позволяющим как обеспечивать безопасность персональных данных, так и соответствовать требованиям регуляторов.

    Следует заметить, что компаниям - операторам персональных данных, не имеющим в своем штате квалифицированных специалистов по защите информации, трудно самостоятельно построить защиту ПД. Помочь им в этом могут компании, специализирующиеся в области защиты информации и имеющие соответствующие лицензии. Такие компании могут выступать как в роли консультантов, так и в роли аутсорсеров.

    Привлечение сторонних аутсорсинговых организаций позволит оператору сложить с себя часть проблем, в частности, по созданию пакета организа­ционно-распорядительной документации, обеспечению безо­пасности существующей информационной системы персональных данных или созданию новой технической площадки по обеспечению соответствующего уровня защищенности персональных данных.

    Несмотря на отсутствие принятых подзаконных актов, опыт компании ЗАО "Энвижн Груп" по созданию систем защиты ПД позволяет утверждать, что уже сейчас следует приступать к проведению анализа используемых информационных систем для выявления потенциала и возможных рисков, согласно действующему законодательству. Эта работа станет заделом на будущее и впоследствии позволит успешно завершить  проекты по внедрению защиты персональных данных на предприятии, выиграть время и сократить затраты при любом сценарии изменения требований к компаниям-операторам.

    Поделиться