Разделы

Безопасность Госрегулирование

ИТ-коллапс: Банки восстали против закона «О персональных данных»

Российские банки просят Роскомнадзор перенести сроки аудита информационных систем персональных данных на соответствие закону 152-ФЗ. На проверки нет ни денег, ни времени, утверждают они; кроме того, в законе имеются некоторые противоречия. Игроки рынка инфобезопасности, в свою очередь, предупреждают, что на фоне законодательного хаоса отсрочка не решит проблему, а лишь отодвинет ее на неопределенный срок.

Как стало известно CNews, депутат Госдумы Анатолий Аксаков направил в Роскомнадзор письмо (копия имеется в распоряжении редакции) с предложением перенести на 2 года сроки приведения информационных систем персональных данных (ИСПДн) в соответствие с требованиями закона 152-ФЗ «О персональных данных». Аксаков считает целесообразным продолжить работу по совершенствованию законодательной базы в области защиты прав субъектов персональных данных, доработать закон № 152-ФЗ и связанные с ним подзаконные акты.

Напомним, что данный закон, вступивший в силу в январе 2007 г., был призван ликвидировать регулярные утечки базы данных, содержащих сведения о клиентах и номерах телефонов сотовых операторов, данные о государственных номерных знаках, владельцах автомашин и так далее. В соответствии с этим законом, в число ИСПДн, которые должны пройти аудит не позднее января 2010 г., вошли не только информационные системы коммерческих структур - банков и сотовых операторов, но и базы данных государственных и муниципальных организаций, школ, поликлиник, ДЭЗов.

Различных ИСПДн, по данным Роскомнадзора, в стране более 46 тыс. По мнению Аксакова, выполнить в срок обследование всех ИСПДн страны и провести мероприятия по защите персональных данных нереально. Бюджетные организации не имеют для этих целей необходимого финансирования, а кредитные организации не готовы перестроиться - в условиях кризиса им и так не хватает ресурсов, считает депутат. При этом желающих контролировать ситуацию, обследовать и проводить аудит (разумеется, не бескорыстно), как всегда, достаточно.

Анатолий Аксаков считает, что выполнить в срок  аудит всех ИСПДн страны и обеспечить защиту персональных данных нереально
Анатолий Аксаков считает, что выполнить в срок аудит всех ИСПДн страны и обеспечить защиту персональных данных нереально

В то же время, Аксаков отмечает, что сроки на приведение ИСПДн в соответствие с требованиями закона были даны явно не малые. Однако подзаконные материалы, разъясняющие участникам рынка суть происходящего, появились только в феврале 2008 г. (они были выпущены ФСТЭК). До сих пор эти четыре документа не находят однозначного толкования со стороны специалистов, а некоторые нормы самого закона № 152-ФЗ противоречат действующему законодательству.

К примеру, кредитная организация, в соответствии со статьей 7 ныне действующего закона № 115-ФЗ от 7 августа 2001 г. «О противодействии легализации (отмыванию) доходов, полученных преступным путем», обязана хранить документы, подтверждающие сведения, указанные в настоящей статье, а также необходимые для идентификации личности, не менее пяти лет. С другой стороны, согласно статье 5 часть 2 № 152-ФЗ, эта же кредитная организация одновременно обязана уничтожить персональные данные по достижении целей обработки. При этом лицо, давшее письменное согласие на обработку своих данных, может даже отозвать свое согласие. «По сути, федеральный закон в его сегодняшней редакции лишает банки возможности бороться с мошенниками и обмениваться о них информацией», - указывает Анатолий Аксаков.

В поддержку депутата Аксакова высказался Дмитрий Назипов, старший вице-президент ВТБ. «Требования по обработке данных, с одной стороны, не достаточно конкретны, и, в то же время, довольно сложны для реализации, а времени на проведение мероприятий практически нет, - рассказал он CNews. - Не прописана методика оценки качества выполненных работ, их результатов – это, очевидно, оставляет простор для трактовки».

Как сократить время на настройку резервного копирования и повысить его надежность?
Цифовизация

Татьяна Менькова, аналитик ИК «Финам», также называет инициативу Аксакова вполне логичной. По ее мнению, провести требуемый аудит, в принципе, реально, но может потребовать существенных затрат, которые негативно отразятся на многих компаниях и бюджетных организациях. Из-за новых издержек могут начаться дополнительные увольнения, опасается она. В итоге велика вероятность, что инициатива Аксакова будет принята положительно, считает Менькова.

Участники и эксперты рынка инфобезопасности, тем не менее, указывают на то, что сама по себе отсрочка аудита ничего не решит. «Только непосвящённому неясно, что процесс приведения информационных систем операторов персональных данных в соответствии с федеральным законом потерпел фиаско, - говорит Денис Зенкин, директор по маркетингу компании Perimetrix, специализирующейся на защите конфиденциальных данных. - Из 7 млн юридических лиц и индивидуальных предпринимателей, которые являются объектами закона, сегодня зарегистрированы Россвязькомнадзором только 46 тыс. При этом порядок работы с персональными данными в России регулируют более 30 законов (в том числе федеральных), указов, постановлений, приказов и распоряжений». Зенкин полагает, что хоть отсрочка и оправдана, при сохранении законодательного хаоса и отсутствии чётких стандартов защиты через два года существенных изменений в этой сфере в России не произойдет.

Михаил Емельянников, директор по развитию бизнеса компании «Информзащита», также считает, что в случае переноса сроков через два года ничего не изменится: денег не будет, работы не начнутся. «Если сейчас сроки сдвинуть на два года, на законе, точнее, на его реализации, можно будет поставить жирный крест, - уверен он. - Никто ничего выполнять не будет никогда». «На мой взгляд, отложение вступления закона в силу не стало бы хорошим шагом, так как просто даст еще немного времени отсидеться и ничего не делать, - подтверждает Илья Шабанов, руководитель проекта Anti-Malware.ru. - Очевидно, что некоторые питают надежды к отмене неудобного для себя закона. При этом ни о каком исполнении закона пока не может быть и речи, так как большинство госчиновников в принципе не понимает суть проблемы и цели закона».

Аналогичной точки зрения придерживается и Павел Врублевский, гендиректор компании ChronoPay (специализируется на обслуживании транзакций для электронной коммерции и предоставлении различных видов услуг). «Ситуация через год или два не изменится к лучшему, - говорит он. - Сам закон, прежде всего, важен для многочисленных пользователей интернет-сервисов и покупателей онлайн-магазинов - они нуждаются сегодня в защите». Врублевский отмечает также международный аспект необходимости скорейшего введения подобного закона.

Надежда Генина