На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

 

Во сколько обойдется бизнесу закон «О персональных данных»

 

Александр Сазонов

20 января 2010

http://www.forbes.ru

 

Банкам, страховщикам, турфирмам придется потратить на защиту информации до 10 млн рублей

Осенью 2004 года на московских радиорынках всего за $300 можно было купить базу данных о доходах москвичей и жителей Подмосковья в 1999–2002 годах. Вся информация умещалась на четырех DVD-дисках. В базе содержалось около 7 млн позиций, включавших ФИО человека, его паспортные данные, домашний адрес, ИНН и, главное, точный размер полученных доходов с указанием их источников. Журналисты быстро вычислили источник утечки — Пенсионный фонд. Само ведомство от предъявленных претензий долго открещивалось.

С тех пор государство активно взялось за предотвращение таких инцидентов. В 2006 году был принят закон «О персональных данных», согласно которому компании, оперирующие персональными данными, должны были до 1 января 2010 года внедрить у себя специальные информационные системы по их защите . Под Новый год Госдума приняла к закону поправки, дав компаниям еще год на приведение своих систем в соответствие требованиям закона.

Кого касается закон

По данным Роскомнадзора (служба в структуре Минкомсвязи, осуществляющая надзор за соблюдением закона «О персональных данных»), около 4 млн организаций являются операторами персональных данных той или иной категории. Это страховые компании, банки, больницы, госучреждения, сотовые операторы, туристические фирмы, интернет-магазины — все, кто работает с персональной информацией клиентов. Действие закона не распространяется на обработку данных физлицами для личных или семейных нужд, на документы Архивного фонда, обработку сведений о физлицах для включения в единый государственный реестр индивидуальных предпринимателей и на обработку персональных данных, составляющих гостайну.

Интересная деталь: только 80 000 организаций на данный момент уведомили ведомство, что обрабатывают персональные данные и внесены в соответствующий реестр. «Видимо, кто-то из них считает, что, не зарегистрировавшись, может избежать контроля. Это ошибочное мнение», — сказал Forbes представитель Роскомнадзора Михаил Воробьев. Почему компании не спешат заявить о себе надзирающим органам?

«Закон — достаточно сложный документ, пока еще требующий доработки и детализации», — дипломатично описывает нововведение директор по информационным технологиям страховой компании РОСНО Сергей Пегасов. «Все сообщество очень обрадовалось переносу сроков. Нормативные документы к закону похожи на кандидатскую диссертацию 20-летней давности. Требования этого закона местами более трудноисполнимы, чем требования закона «О государственной тайне », — говорит представитель отдела информационной безопасности одного из банков.

Что требуется сделать и сколько это стоит

Прежде чем приступить к обработке персональных данных, компания должна разработать и принять порядка 20 внутренних положений и приказов , регламентирующих процесс. Далее необходимо провести аудит состояния защищенности информационных систем . После него можно строить саму систему защиты. Если вы решили не обращаться к помощи сторонних компаний-интеграторов, приготовьтесь получить лицензии в ФСБ и Федеральной службе по техническому и экспортному контролю (ФСТЭК) . Эти ведомства осуществляют надзор в области криптографической и технической защиты информации.

Итог: малому и среднему бизнесу полное внедрение системы обойдется в 0,2-1 млн рублей . Для крупных компаний — банков и сотовых операторов — полная стоимость работ может доходить и до 10 млн рублей. Полный цикл исполнения проекта займет от 3 месяцев до 1 года . «Нарушен основной принцип защиты информации: средства, которые надо выделить на ее защиту, больше, чем стоимость самой информации», — сетует один из участников рынка, занявший выжидательную позицию.

Защитит ли закон персональные данные

Некоторые операторы данных, как рассказывают эксперты борющейся с информационными утечками компании InfoWatch, хитрят и переводят де-юре некоторую часть делопроизводства на бумагу: для неавтоматизированной обработки данных требования проще. А многие не делают ничего — штрафы, которые Роскомнадзор может наложить в ходе проверки, составляют не более 20 000 рублей. Лоббисты же крупных компаний обивают пороги профильных ведомств. Роскомнадзор подготовил уже более десятка поправок, говорит представитель службы Михаил Воробьев, цель которых — сделать закон более рабочим и минимизировать расходы компаний.

А пока служба ведет разъяснительную работу. В октябре 2009 года создан «Портал персональных данных», на форуме которого обсуждаются вопросы, связанные с работой с персональными данными.

Но никакие технические средства не гарантируют защиты от утечек, связанных с человеческим фактором. «Если смотреть на мировую статистику, похищаются персональные данные чаще всего (а такие инциденты исчисляются тысячами в год) именно допущенными к работе с ними сотрудниками, самостоятельно или в сговоре с внешними злоумышленниками, — говорит Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch. — А вот случаев хищения персональных данных путем снятия акустической информации с вибрирующих стекол офисов не зарегистрировано».

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru