Спецпроекты

Операторам персональных данных подарили год

Безопасность Бизнес Аутсорсинг Госрегулирование Законодательство
Госдума приняла поправки к закону о персональных данных: аудит их операторов отложен на год. В то же время, закон содержит еще немало противоречий и подводных камней, которые депутатам предстоит исправить.

Сегодня Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год — с 1 января 2010 г. до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.

Основная причина переноса, в пользу которого активно выступили российские банки, связана с непрозрачностью требований регуляторов и невозможностью их выполнить за отведенное время. «Сразу надо отметить, что переносится на год вступление не всего закона, а только одного из его положений — пункта о соответствии ИСПДн техническим требованиям по безопасности», — комментирует Алексей Лукацкий, менеджер по развитию бизнеса Cisco. Он напоминает, что требования ФСТЭК менялись неоднократно, а процесс их изменения и утверждения вызывал огромное количество вопросов и нареканий. Поэтому депутаты в итоге признали, что перенос сроков — это крайняя мера, но на нее необходимо пойти, чтобы дать возможность операторам персональных данных подготовиться более серьезно, а регуляторам — извлечь уроки из впопыхах выброшенных на рынок требований.

Анатолий Аксаков считает, что отсрочка аудита ИСПДн - лишь полумера: впереди еще масса работы
Анатолий Аксаков считает, что отсрочка аудита ИСПДн - лишь полумера: впереди еще масса работы

В то же время, Анатолий Аксаков, член комитета Госдумы по финансовому рынку, изначально предлагавший перенести сроки аудита ИСПДн на 2 года, называет принятые поправки «полумерой». Депутат при этом подчеркивает, что 152-ФЗ необходим, но еще нужно активно над ним поработать, чтобы закон в полной мере защищал интересы и операторов ИСПДн, и тех, кто будет приводить их системы в соответствие с законом.

«Отсрочка дает возможность в течение года внести в закон целый ряд других поправок, которые помогут устранить внутренние противоречия, — говорит депутат. — С одной стороны, закон еще нужно совершенствовать с точки зрения защиты персональных данных, а с другой стороны — убрать из него излишнюю нагрузку, которая обременяет операторов ИСПДн и при этом не помогает защищать данные». По словам Аксакова, речь идет о требованиях по использованию технических и программных средств защиты, которые в Европе, например, носят лишь рекомендательный характер. В России же их сделали обязательными, «поддавшись лоббированию со стороны отдельных компаний». Кроме того, изменения должны коснуться целого ряда других законов, где фигурируют персональные данные.

Гибридная рабочая среда вызывает привыкание
Бизнес

Поставщики решений также видят в принятых поправках некоторые положительные стороны для себя. «Проектные команды были поставлены в очень жесткие временные рамки, что не могло не сказываться на качестве исполнения работ и на их стоимости», — говорит Вениамин Левцов, директор департамента развития LETA IT-company. По его словам, теперь у операторов появляется достаточно времени, чтобы в спокойном режиме провести планирование оставшейся части проекта. «Компании смогут более взвешенно подойти к выбору исполнителей, подбору технических средств защиты и возможно даже скорректировать отдельные бизнес-процессы — о последнем в условиях „горящих сроков“ не приходилось даже мечтать», — заключает Левцов.

Регулятор в лице Роскомнадзора также не должен быть в обиде, считают в LETA: проверки операторов будут идти в плановом порядке, просто акцент будет делаться на соблюдение норм закона, не связанных с обработкой персональных данных в информационных системах. Напомним, что сейчас в реестре Роскомнадзора содержатся данные почти о 75 тыс. операторов ИСПДн — кроме банков, в их число входят телеком-компании и организации здравоохранения.