В полную силу вступили требования ФЗ №152 «О персональных данных»

1 июля 2011 года вступил в полную силу ФЗ №152 «О персональных данных»: именно к этой дате все организации, обрабатывающие персональные данные (операторы, согласно терминологии закона), обязаны привести свои информационные системы в соответствие с требованиями закона. Поскольку с персональными данными той или иной категории работает практически любая компания, то действие закона распространяется на очень широкий круг предприятий самых разных отраслей и сфер деятельности.
Закон, первоначальная версия которого была принята еще в 2006 году, адаптировался с большим трудом, создавая сложности многим компаниям. Это было связано, прежде всего, с несовершенством некоторых его статей и, как следствие, неготовностью операторов к построению систем защиты персональных данных.
«Неоднократный перенос вступления ФЗ в силу был обусловлен несовершенством закона и подзаконных нормативных актов, зачастую невозможностью их исполнения операторами персональных данных. Однако те рекомендации и пожелания, которые поступали в Госдуму от профессиональных участников рынка, к сожалению, в окончательной версии закона отражены не полностью. По моим прогнозам, несмотря на полноправное вступление в силу закона, эти недоработки еще будут давать знать о себе», – говорит Михаил Карпов, руководитель направления защиты персональных данных компании Softline.
Для соответствия ФЗ № 152 должен быть реализован комплекс организационно-технических мер по обеспечению защиты персональных данных, который в том числе включает:
– выделение и классификацию информационных систем персональных данных;
– анализ угроз безопасности персональных данных;
– формирование на основании выявленных угроз и руководящих документов набора требований, предъявляемых к информационным системам персональных данных;
– разработку комплекта организационно-распорядительной документации, регламентирующей деятельность по защите персональных данных в организации;
– внедрение средств защиты информации, сертифицированных в системе ФСТЭК и ФСБ России.
С 1 июля 2011 года проверки операторов, проводимые регулирующими органами (в первую очередь, Роскомнадзором, а также ФСБ России, ФСТЭК России), примут более жесткий характер. Именно этот факт вызывает больше всего опасений у компаний-операторов.
По данным из отчета о деятельности Роскомнадзора за 2010 год, за рассматриваемый период было проведено 1253 проверки операторов, что почти в 3 раза больше, чем в 2009 году. По результатам проведенных проверок было выдано 1908 предписаний об устранении выявленных нарушений, составлено и направлено на рассмотрение в суды 2996 протоколов об административных правонарушениях. Общая сумма штрафов за нарушение законодательства в 2010 году составила 4 480 000 р., что почти в 60 раз больше аналогичного показателя прошлого года.
«Отрицательная статистика Роскомнадзора за последний год свидетельствует о наличии серьезных проблем в сфере защиты персональных данных. Эти проблемы, по моему мнению, сводятся, прежде всего, к недоработкам законодательства и, как следствие, отсутствию квалифицированных кадров. Недоработки порождают множество вопросов, ответить на которые сотрудники IT-отделов, не располагающие опытом построения систем защиты персональных данных, бывают просто не в состоянии. В таких условиях для налаживания ситуации мы рекомендуем операторам обращаться к профессиональным интеграторам, имеющим соответствующие лицензии и компетенции для приведения информационных систем персональных данных компании в полное соответствие с требованиями 152-ФЗ», – отмечает Николай Антипов, технический специалист отдела защиты персональных данных компании Softline.