Государство предложило выбор между плохим и очень плохим

От гражданина РФ персональные данные требуют на каждом углу, и 152-ФЗ их эффективную защиту обеспечит едва ли.
Казенные контролеры должны были начать проверки в январе 2010 года. Когда стало понятно, что трех лет потенциальным проверяемым не хватило, срок сдвинули еще на год.
Причина того, что за три года соблюдение требований 152-ФЗ так и не стало возможным, состоит в отсутствии финансирования. В бюджете страны нет, например, расходов на защиту персональных данных, хранящихся в регистратурах российских поликлиник.
Но процесс адаптации компаний к жизни в условиях применения 152-ФЗ потихоньку идет. Так, сегодня LETA IT отчиталась о завершении комплексного проекта по защите персональных данных в негосударственном пенсионном фонде "Благосостояние". Проект стартовал в июле 2009 года, перед LETA IT ставилась задача успеть закончить все работы к 31 декабря, чтобы к 2010 году пенсионный фонд обезопасил себя от контролеров. "Кроме того, перед нами ставилась задача обеспечить реальную защиту информации", - говорит представитель компании LETA IT Александр Бондаренко.
Дело в том, что исполнение требований 152-ФЗ и защита персональных данных – не одно и то же: соблюдение закона никак не страхует от утечки информации.
В законе сказано, что операторы персональных данных могут использовать только сертифицированные Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности (ФСБ) средства защиты. Чтобы получить такой сертификат, производителям программного обеспечения необходимо предоставить в лицензирующие органы исходные коды продуктов, чего западным вендорам делать почему-то не хочется. "Поэтому на деле получается, что вместо действительно надежных, но не сертифицированных продуктов, нам приходится использовать менее эффективные, но сертифицированные. А их выбор не так велик. По сути, нам приходится выбирать между плохими и очень плохими средствами защиты", - говорит руководитель IT-департамента фонда "Благосостояние", председатель правления Союза IT-директоров России Борис Славин.
LETA IT из-за повышенных требований к защите данных о состоянии здоровья граждан пришлось идти на такое ухищрение: перевести такую информацию из электронного в бумажный вид (распечатать) с последующим архивированием и хранением в папках и опечатанных шкафах. В электронных файлах сведения остались, но в виде нехитрых кодов. Хотя, по словам г-на Славина, в пенсионных фондах информации о здоровье граждан достаточно мало: в частности, это только данные об инвалидности. Закон соблюден, но и только – сказать, что технология хранения и обработки данных эффективна и надежна, никак нельзя.
В ходе реализации проекта исполнителю приходилось чаще решать юридические вопросы, нежели технические. По словам г-на Бондаренко, соотношение таковых составило 70% на 30%. Пришлось, в частности, разработать регламент ответа на запросы владельцев персональных данных. Закон предусматривает, что любой гражданин, может поинтересоваться у оператора персональных данных тем, какие сведения о нем хранятся в компании и насколько надежно они защищены. "Оператор обязан ответить в ограниченный срок, при этом ответ должен быть юридически правильно оформлен. Если этого не будет сделано, гражданин может обратиться в Роскомнадзор, который, в свою очередь, инициирует проверку. Что может быть использовано недобросовестными конкурентами для того, чтобы на какое-то время парализовать работу компании", - рассказывает генеральный директор LETA IT Андрей Конусов.
Компаниям, которые оперируют даже с самыми безобидными, поверхностными персональными данными (такими, как имя, фамилия, возраст, пол), приходится в полном объеме соблюдать требования 152-ФЗ: иначе они просто не смогут работать.
А вот государственные компании, которые зачастую оперируют гораздо большим объемом персональных данных, пока что не особо заботятся о том, чтобы их защищать. По словам г-на Конусова, на защиту персональных данных в государственных учреждениях средств так и не было выделено: "Некоторые, конечно, пытаются найти деньги на то, чтобы внедрить систему защиты персональных данных, но это, скорее, исключение, нежели правило. Кроме того, госучреждения не очень-то рискуют. Зачем контролерам идти туда с проверкой, если можно пойти в более для них привлекательные коммерческие компании?"