Geum.ru
   Книги по разным темам Pages:     | 1 | 2 | 3 |

15,2% 9,5% 7,5% 3,6% рис. 8 Сторонние компании, имеющие доступ к ПД В этом свете было бы логично рассказать о дру- скольку тот неизбежно получит доступ к персогой проблеме, с которой сталкиваются 13,1% нальной информации российских граждан. Они российских организаций. Именно эта часть ком- не могут создавать общие дата-центры консолипании делится персональными данными с ино- дированного хранения российских персональных странными организациями - материнскими ком- данных и информации жителей из других стран. Напаниями или обычными партнерами. Вместе с тем конец, они не могут обслуживать российских клисогласно Федеральному закону О персональных ентов за границей, поскольку не имеют доступа к их данных делать это можно лишь с согласия вла- персональной информации.

дельцев информации, которое технически невозможно получить. Получается типичный правовой коллапс - ограничения закона оказываются невыполнимыми, и Как следствие, перед иностранными компаниями потому они фактически не выполняются. При этом возникают масштабные ограничения на трансгра- перед всеми иностранными компаниями возниканичную передачу персональных данных. Согласно ют масштабные правовые и репутационные риски, букве закона, они не могут послать аудитора для которые в теории могут привести к сворачиванию проверки деятельности дочерней структуры, по- бизнеса в России.

RESEARCH P APER Персональные данные в российских комПаниях Законодательное регулироВание Защиты персональных данных С точки зрения российского законодательства ис- формационных системах персональных данных), в пользование персональных данных в отечествен- рамках которого обязал уполномоченные органы ных организациях жестко зарегулировано. Основ- (ФСБ и ФСТЭК) написать более детальные норматиным документом, регламентирующим меры защиты вы к федеральному закону к 18 февраля 2008 году.

персональных данных, является одноименный фе- Нетрудно догадаться, что к обозначенной дате нидеральный закон, вступивший в действие 30 янва- каких нормативов не появилось.

ря 2007 года. За время, прошедшее с этого момента, закон практически не применялся на практике, Тем не менее в июле 2008 года первый документ однако в настоящее время наблюдаются серьезные такого рода все-таки был опубликован правипредпосылки к изменению сложившейся ситуации. тельством РФ. Постановление № 512 содержит Итак, что же представляет собой Федеральный за- конкретизированные требования к материалькон О персональных данных По сути, он явля- ным носителям биометрических персональных ется высокоуровневым набором концептуальных данных и технологиям хранения таких данных требований к защите персональной информации. вне информационных систем персональных данОтдельно подчеркнем, что под действие федераль- ных. Конечно, этот документ не может покрыть ного закона попадают фактически все компании, все случаи, которые регулируются ФЗ, однако его которые имеют в своем составе хотя бы отдел ка- публикацию можно расценивать как безусловный дров и бухгалтерию. позитивный сдвиг.

В области защиты информации закон выдвигает са- Публикация конкретизирующих нормативов явмые общие требования, не опускаясь до конкретных ляется не единственной попыткой правительства деталей. Например, норматив гласит, что лоператор оживить фактически мертвый закон. В конце персональных данных обязан принимать необхо- года стартовала разработка реестра операторов димые организационные и технические мерыЕ персональных данных, а также был назначен орган, для защиты персональных данных от неправомер- ответственный за этот реестр (Россвязькомнадзор).

ного или случайного доступа к ним, уничтожения, Спустя четыре месяца представители регулятора изменения, блокирования, копирования, распро- объявили о создании реестра и призвали все росстранения персональных данных, а также от иных сийские компании внести туда свою информацию.

неправомерных действий. Конкретики в законе На момент подготовки этого исследования в реенет, и определять степень необходимости мер фак- стре содержались сведения о 17 тыс. операторов тически должна каждая конкретная организация. персональных данных.

Именно поэтому закон в его нынешнем виде почти невозможно применить на практике. Без более де- Так или иначе, в течение последних 12 месяцев пратальных требований (лметодичек) норматив прак- вительство наконец-то стало проявлять хотя бы тически теряет смысл, оставаясь лишь набором об- какую-то активность. Конечно, пока эта активность щих рекомендаций. недостаточна для реального применения закона на практике, однако сама тенденция заставляет В ноябре 2007 года тогдашний премьер-министр задуматься. По мнению экспертов аналитического России Виктор Зубков подписал специальное рас- центра Perimetrix, существует достаточно высокая поряжение (Положение об обеспечении безопас- вероятность резкого усиления нормативного пресности персональных данных при их обработке в ин- синга уже в ближайшие полтора-два года.

RESEARCH P APER Персональные данные в российских комПаниях Рост озабоченности российских компаний влияни- кать в положения ФЗ и задумывались о его возможем федерального закона косвенно подтверждается ном влиянии на бизнес. Оставшиеся 20,3% респонсобранной статистикой. Абсолютное большинство дентов имеют о законе смутное представление (79,7%) специалистов (см. рис. 9) уже пытались вни- либо вовсе с ним не знакомы.

рис. 9 Осведомленность специалистов о ФЗ О персональных данных RESEARCH P APER Персональные данные в российских комПаниях Пятая часть (20,3%) респондентов предполагает Вместе с тем более половины специалистов честно (рис. 10), что их компания полностью удовлетво- признают, что их компании выполняют не все треряет требованиям закона. Весьма смелое утверж- бования закона (46,3%) либо не выполняют их вовсе дение, особенно если учесть туманность и раз- (11,1%). Для достижения соответствия этим компамытость этих требований. В каждом конкретном ниям придется инвестировать средства в развитие случае трактовка положений ФЗ может произво- системы информационной безопасности.

диться по-разному и до появления конкретизирующих нормативов заявлять о полном соответствии почти бессмысленно.

20,3% 46,3% 11,1% 9,3% 13,1% рис. 10 Соответствие требованиям ФЗ О персональных данных RESEARCH P APER Персональные данные в российских комПаниях Основным препятствием на пути соответствия за- В общем и целом, операторы персональных данных кону (см. рис. 11) является нечеткость и размытость готовы добиться соответствия федеральному закону, его положений - эту проблему отметили почти 35% однако они не могут понять, как именно это можно респондентов. Как и всегда, весьма актуальными сделать. Медлительность чиновников оказывает нетрудностями являются бюджетные ограничения, а гативное влияние и на вендоров систем защиты, котакже отсутствие квалифицированных специали- торые теряют ориентиры при разработке защитных стов - каждый из этих пунктов набрал примерно по продуктов. Можно с уверенностью утверждать, что 20% голосов. Остальные сдерживающие факторы, работающий федеральный закон нужен не только поЦвидимому, не являются серьезной проблемой для защиты владельцев ПД, но и для развития рынка для большинства организаций. информационной безопасности в целом.

34,7% 20,6% 19,0% 6,4% 4,9% 4,9% 9,5% рис. 11 Осведомленность специалистов о ФЗ О персональных данных RESEARCH P APER Персональные данные в российских комПаниях Более того, участники рынка считают важным не В таком разрезе полученные результаты не удивлятолько выполнять положения ФЗ в их нынешнем ют - любой специалист хочет увеличить свое влиявиде (при условии публикации конкретизирующих ние и значимость в жизни компании. Это означает, документов), но и даже усиливать их в целях защи- что требование лобязательного разглашения рано ты владельцев персональных данных. В частности, или поздно появится в федеральном законе. Факпрактически две трети (65,3%) респондентов уве- тически оно выгодно всем участникам рынка - и рены (см. рис. 12), что требование об обязательном регулятору (усиление нормативного прессинга), разглашении информации об утечках ПД должно и специалистам по безопасности (усиление внубыть включено в федеральный закон. Такое требо- трикорпоративной роли), и непосредственным вание, уже прописанное в законодательствах ряда владельцам персональных данных (усиление заразвитых западных странах, значительно увеличит щищенности). Оно невыгодно лишь владельцам и ущерб компаний в результате каждой утечки ин- инвесторам компаний, однако лагерь противников формации. А значит - заставит уделять безопасно- достаточно немногочисленен.

сти большее внимание и повысит роль подразделений, которые за нее отвечают.

рис. 12 Должны ли компании разглашать сведения об утечках ПД RESEARCH P APER Персональные данные в российских комПаниях Резюмируя все вышесказанное, легко прийти к вы- значимым документом, чем все остальные нормаводу о растущем влиянии федерального закона в тивные акты, и в том числе и отраслевые стандарты.

сравнении с другими регулирующими документа- В будущем, по мере конкретизации требований зами. Этот закон уже сейчас (рис. 13) является более кона, его влияние на бизнес только увеличится.

45,0% 36,8% 20,3% 10,3% PCI DSS Basel II 6,2% 2,1% SOX 18,5% рис. 13 Степень влияния различных нормативных актов на защищенность персональных данныхВпрочем, преуменьшать значение других докумен- вый уровень операторов связи, стандарт Банка тов также не стоит. В отличие от федерального за- России СТО БР ИББС или стандарт PCI DSS, можно кона (под действия которого подпадают едва ли не реализовать уже сегодня. Как следствие, некоторые все организации) они имеют ограниченную область компании рассматривают именно эти документы в применения и иногда - необязательный характер. качестве дорожной карты для создания корпораОднако требования таких нормативов как, Базо- тивной системы безопасности.

1 Сумма долей больше 100%, поскольку респонденты могли выбрать несколько вариантов ответа RESEARCH P APER Персональные данные в российских комПаниях Заключение Исследование Персональные данные в России Поскольку ФЗ уже давно вступил в силу, россий2008 показало чрезвычайную важность и расту- ские компании должны быть готовы к публикации щую актуальность защиты персональных данных. конкретизирующих документов и появлению конНа сегодняшний день российские компании об- троля над исполнением закона. Конечно, это собырабатывают огромное количество персональных тие не может произойти в один момент, однако и данных, доступ к которым имеет целый ряд корпо- реализация комплекса защитных мер требует вреративных подразделений и департаментов. В боль- мени. Задумываться о защите персональных данных шинстве случаев этот доступ никак не контролиру- необходимо уже сегодня, внедрять защиту - завтра, ется, что приводит к высоким рискам утечки. а послезавтра - спокойно наблюдать за схваткой государства и менее дальновидных компаний.

Законодательное регулирование защиты ПД до сих пор практически не работает, а основной норматив - ФЗ О персональных данных - по-прежнему выдвигает слишком общие и неконкретные требования. Каждая компания трактует эти требования исходя из собственных соображений, а иногда просто их игнорирует. Правоприменительная практика в отношении ФЗ отсутствует, контроль над исполнением закона де-факто не производится.

Вместе с тем российское правительство пытается (хотя и не слишком активно) реанимировать федеральный закон и получить хотя бы какой-то контроль над операторами персональных данных.

Несколько, казалось бы, незначительных шагов, которые были предприняты в течение последнего года, наглядно показали общественности, что государство не собирается отказываться от своих замыслов. От этих действий закон О персональных данных не стал понятнее, однако он приобрел некую новую актуальность, которая со временем будет только расти.

RESEARCH P APER Персональные данные в российских комПаниях о проекте INFORMATION SECURITY/инфорМационная беЗопасность Х Журнал Информационная безопасность, ко- Х еженедельная электронная газета Information торый выходит тиражом 10 тыс. экземпляров Security, аудитория которой - более 4 тыс. по8 раз в год и распространяется по схеме B2B стоянных подписчиков;

среди руководителей и владельцев IT-компаний Х конференции серии профессиональный диаи компаний-потребителей, начальников IT- лог, организуемые на высоком уровне для тщаотделов и технических специалистов; тельно отобранной аудитории потребителей;

Х ежегодный каталог IT-Security. Системы и сред- Х отраслевой портал www.itsec.ru, ежедневную ства защиты информации, предназначенный аудиторию которого составляют более 700 продля руководителей и специалистов, отвечающих фессионалов.

за закупки продуктов, систем и услуг в области информационной безопасности;

о проекте банкир.ру Главное направление деятельности Банкир.Ру - ак- расширения деятельности. Коммерческие банки, тивное участие в развитии банковского бизнеса в банковские ассоциации и союзы, Центральный банк России, улучшение качества и расширение спектра РФ должны объединить усилия для достижения обфинансовых услуг клиентам российских банков. Мы щих целей, наладить конструктивный диалог, спосчитаем, что банковская система РФ должна и может собствовать профессиональному росту специалибыть конкурентоспособна по отношению к ведущим стов банковского дела.

мировым финансовым системам. Наша цель - продвижение и развитие банковского дела в России, На сайте Банкир.Ру любой посетитель найдет ответ повышение квалификации банковского персонала. на интересующий его вопрос по банковской деятельности и не только; познакомится с последними Развитие банковского рынка зависит не только от новостями, аналитическими материалами и интедеятельности государственных органов управле- ресными людьми; узнает много нового и интереснония и Центрального банка РФ, но и не в последнюю го о действующих кредитных организациях; сможет очередь от самих кредитных организаций, от их по- найти новое место работы или подобрать квалифинимания законов развития бизнеса, от намерений цированного специалиста для работы в банке.

Pages:     | 1 | 2 | 3 |    Книги по разным темам