Депутаты бьют тревогу: с 1 января власти начнут массовые проверки информационных систем защиты персональных данных (ИСПДн) на предмет соответствия требованиям ФСБ и ФСТЭК, к чему российские предприятия не готовы. Законодатели предлагают ввести отсрочку на один год, но против выступает Роскомнадзор.
В Госдуму внесены поправки к Закону «О персональных данных» (152-ФЗ), предполагающие перенос даты, с наступлением которой информационные системы персональных данных (ИСПДн) должны быть защищены в соответствие с законом, с 1 января 2009 г. на 1 января 2010 г. Как пояснил один из авторов поправок, председатель комитета Госдумы по финансовым рынкам Владислав Резник, требования к защите информационных систем установлены на самим законом, а подзаконными актами, изданными, в частности, Федеральной службой технико-экспортного контроля («Базовая модель угроз безопасности», «Методика определения базовых угроз безопасности» и другими) и Федеральной службой безопасности («Требования по обеспечению функционирования шифровальных средств»).
Однако реализация этих требований, по словам Резника, выявила ряд трудностей. Например, коммерческие организации отмечают существенное увеличение затрат на приведение информационных систем в соответствие с требованиями по безопасности персональных данных и, особенно, затрат на поддержание таких систем. А выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований к информационным системам персональных данных потребует резкого увеличения расходов из бюджетов всех уровней, которые не планировались и сложно осуществимы в условиях кризиса.
Еще одна поправка, предложенная депутатами, касается исключения из закона требований о применении криптографических средств для защиты персональных данных. Данное упрощение должно позволить предприятиям избавиться от необходимости получения лицензии ФСБ на деятельность по техническому обслуживанию шифровальных средств. В целом, как отметил Резник, предприятия в массовом порядке не готовы к выполнению требований закона, и с 1 января регулирующий орган - Федеральная служба по надзору в сфере связи и массовых коммуникаций (Роскомнадзор) - сможет начать проверки на предмет защищенности информационных систем и наказывать нарушителей.
Один из авторов поправок - председатель комитета Госдумы по финансовым рынкам Владислав Резник
Напомним, что закон «О персональных данных» был принят в 2006 г. во исполнение Конвенции Совета Европы «О защите личности в связи с автоматической обработкой персональных данных». В соответствии с этим законом, все организации, осуществляющие автоматическую обработку персональных данных граждан (ФИО, паспортные данные, адреса, телефоны и др.) за некоторыми исключениями (если информация были получена при заключении договоров, используется для учета кадров, выдачи пропусков и т.д.) должны были к 1 января 2008 г. уведомить уполномоченный орган о деятельности в качестве операторов персональных данных. Правда, сам уполномоченный орган был назначен лишь в конце 2007 г., и только начиная со второй половины 2008 г. он стал собирать заявления от операторов.
Впрочем, в настоящее время процесс сбора уведомлений от операторов персональных данных значительно упрощен благодаря сбору соответствующих заявлений через интернет. Однако, начиная с будущего года, информационные системы должны быть защищены в соответствие с требованиями ФСТЭК и ФСБ. Наибольшие требования к защите предъявляются к информационным системам первой и второй категорий, в которых содержится информация: о более чем 100 тыс. субъектов персональных данных и позволяющая их однозначно идентифицировать (например, ФИО плюс номер паспорта/ИНН); о более чем тысяче субъектов и позволяющая, помимо идентификации, получить дополнительную информацию о субъекте; о расовой, религиозной, политической принадлежности граждан вне зависимости от количества субъектов. В этих случаях оператор персональных данных должен получать лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации, использовать только сертифицированные средства защиты и получать аттестацию на применяемую систему защиты.
Против таких строгих норм выступает банковское и телекоммуникационное лобби, так как именно банкам и операторам связи предстоит проделать наибольший объем работы по защите персональных данных. «Требования закона, действительно, трудно выполнить, например, раньше ФСТЭК проводила аттестацию лишь нескольких сотен заявителей в месяц, - отмечает президент Leta-IT Group Александр Чачава. - В то же время, число предприятий в России, которые используют персональные данные первой и второй категории, исчисляется сотнями тысяч, и очевидно, что ресурсы ФСТЭК за время после принятия закона не возросли в тысячу раз». В то же время, по мнению Чачавы, введение отсрочки вступления закона в силу будет «нечестно по отношению к тем предприятиям, которые проделали титаническую работу по приведению своих информационных систем в соответствие с требованиями закона в срок».
В октябре замруководителя Роскомнадзора Роман Шередин, выступая в Госдуме, заявил о нецелесообразности переноса срока вступления в силу требований закона. С тех пор позиция Роскомнадзора не изменилась, пояснил CNews представитель службы.
