Федеральный закон о персональных данных был принят в июле 2006 года. Полностью он вступает в силу в 2010-м, но уже в январе 2008-го все компании, оперирующие такими данными, должны зарегистрироваться в Россвязьохранкультуры. Бюджеты планируются заранее, привычка государственных органов использовать законодательные требования выборочно, как дубинку против неугодных, всем хорошо известна. Поэтому предусмотрительные ИТ-руководители уже задумываются о том, каким образом и насколько сильно придется менять свои ИТ-системы и бизнес-процессы, чтобы удовлетворить требованиям нового закона. К сожалению, пищи для размышлений и оценок, а уж тем более для планирования пока недостаточно.
Год назад аналитический центр компании InfoWatch провел онлайн-исследование, в котором приняли участие более трехсот респондентов. Большая часть опрошенных (62%) работает в малых компаниях. На долю среднего бизнеса (251 —1000 компьютеризированных мест) пришлось 20%, крупного — 18%. С законом к этому моменту были знакомы 90% опрошенных.
Выводы исследования получились неоднозначными. Например, 94% респондентов были убеждены, что настоятельная потребность в защите приватных данных есть и новый закон совершенно необходим. При этом 40% не верили, что он будет работать. Из них почти половина — 49% — считали, что виной тому недостаточная конкретность изложенных требований. Одновременно 79% признавали текущие требования вполне реализуемыми, а 71% заявили даже о том, что у них уже запланировано внедрение новых ИТ-продуктов. Через год ситуация не слишком изменилась. От ИТ-руководителей силовых ведомств, государственных учреждений, коммерческих компаний, работающих с частными лицами, нередко доводилось слышать о том, что они озабочены новым законом, готовятся изменять свои системы в соответствии с ним. Однако анонимный экспертный опрос, проведенный на конференции «ИТ в финансовом секторе», организованной AHConferencies, дал следующую информацию.
Функциональные менеджеры, «внутренние заказчики», вообще не в курсе событий. «Их пока не информировали», — говорят ИТ-директора. Соответственно о рисках, которые могут возникнуть при невыполнении требований закона, они не осведомлены. Позиция самих ИТ-руководителей колеблется от полностью игнорирующей закон до серьезной озабоченности и конкретных действий. В преддверии нового года ИТ-менеджеры банков полностью поглощены реализацией положения Банка России от 26.03.2007 № 302-П «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории РФ», которое вступает в силу 1 января 2008 года. «Закон еще когда будет, а за невыполнение этого положения лицензию отнимут на следующий же день», — говорят они. Соответственно и усилия распределяют.
В своих прогнозах по поводу закона о персональных данных все ИТ-руководители опираются на единственный пока «луч света в темном царстве» — постановление Правительства РФ от 17.11.2007 № 781. В нем определен срок (три месяца), за который Федеральной службе безопасности РФ и Федеральной службе по техническому и экспортному контролю предстоит утвердить нормативные правовые акты и методические документы, «…необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим Постановлением».
Там есть по крайней мере два интересных заявления. Во-первых, достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах будет оцениваться при проведении государственного контроля и надзора. Кем конкретно, с какой периодичностью и т. п. — не определено. Надо думать, что это в трехмесячный срок определит ФСБ.
Зато явно сказано, что реализация требований по обеспечению безопасности информации возлагается на разработчиков средств защиты. Это значит, как справедливо отметили участники опроса, что сертифицировать промышленные системы и продукты должны вендоры, а самописные, внутренние разработки — сами компании. Порядок сертификации пока не установлен. Для страховых компаний, многие из которых как раз сейчас решают вопрос, оставить ли собственную разработку или перейти на промышленный продукт, это может стать одним из факторов выбора.
Несмотря на сохраняющуюся неопределенность требований, самые оптимистичные ИТ-руководители считают, что никаких реальных изменений делать не придется. «Наш рынок и так избыточно зарегулирован, куда же еще больше-то?» По их мнению, потребуется лишь сертификация используемых продуктов. Более того, поскольку крупнейшие финансовые компании уже имеют набор различных сертификатов ФСТЭК, то и эта сертификация будет отдана на откуп им самим, а значит — ничего страшного.
Более прагматичные уверены, что «больше» — всегда есть куда, поэтому планка требований будет установлена очень высоко. Но это для начала. Как только конкретные нормативы станут известны, окажется, что их выполнение практически для всех — задача неподьемная, особенно в заданные сроки. И уж точно — нежелательная. Поэтому кое-кому будут сделаны послабления. На время. А потом и остальным. Как всегда. В чем сходятся все опрошенные, так это в том, что допустимые средства шифрования будут явно названы ФСБ и ФСТЭК. Если так и произойдёт, рынок средств защиты может измениться существенно, во всяком случае преференции будут закреплены официально.
Наиболее пессимистичные полагают, что реализация закона о персональных данных — «это жесть». И требования, с которыми предстоит столкнуться, будут действительно жесткими, а если на самом деле перестраивать свою работу, бизнес-процессы и ИТ-системы так, чтобы они соответствовали закону, тогда надо всё менять. И стоить это будет соответственно. Во что точно обойдутся изменения, судить пока явно преждевременно, и оценить стоимость модернизации не берется никто.
Ну, всё не всё, а вот работу с данными о собственных сотрудниках точно менять придётся, полагают многие. Защищать кадровую систему, по их мнению, надо будет значительно серьезней, чем раньше. Более того, определенные виды работ, например аутсорсинг колл-центров, по новому закону вообще оказываются под запретом. «Я думал пойти именно таким путем, рассматривал разные варианты, но теперь отложил все это, ведь нельзя же передавать данные о клиентах сотрудникам сторонней компании», — говорит ИТ-директор банка, поскольку нет ясности в легитимности такого подхода в принципе. Так как к любой гайке обычно находится подходящий болтик, можно предположить, что и в этом случае возникнет механизм, формально легализующий аутсорсинг тех видов работ, где обрабатываются персональные данные, но дополнительные усилия могут потребоваться.
Разумеется, закон касается не одних банков, но для них есть особая инстанция. «Закон очень нужный, — считает Жиль Бланшар, директор управления информационных систем банка “Сосьете Женераль Восток”. — И прописанные в нем требования действительно необходимы для обеспечения безопасности. Однако для банков основным законодателем является Банк России. Пока он не выпустит указания или положения, коммерческие банки вряд ли будут выполнять закон. Мало того, чтобы закон действительно заработал, необходимо, чтобы ЦБ РФ или другие органы начали проводить хотя бы плановые проверки в этом направлении. Иначе закон ждет незавидная судьба: самая дальняя папка в шкафу». Не удивительно, что до реальных действий дело в банках пока не дошло. Максимум: «Я подготовил приказ по этому поводу, он ждет подписи генерального. К проверкам мы уже готовы», — говорит начальник службы ИТ-безопасности одного из них.
Страховые компании, которые тоже регулярно проверяются, хотя и не так сурово, как банки, смотрят на закон несколько иначе, ожидают интенсивных проверок уже в ближайшее время и реальных действий предпринимают больше. «Мы должны зарегистрироваться как оператор персональных данных, и наши юристы уже выясняют все необходимые для этого процедуры», — рассказывает Андрей Педоренко, директор департамента информационных технологий «Альфа-страхование».
В свое время принятие акта Сарбейнса — Оксли и стандартов Basel II создало немало проблем для американских фирм, потребовало от них заметных ресурсов, изменило ИТ-рынок, где появились новые виды услуг, в том числе консалтинг по приведению ИТ и бизнеса в соответствие с этими нормативами. Но американцы-то собирались выполнять закон на самом деле. Согласно опросу InfoWatch 13% респондентов просто не верят, что закон будет работать на практике.
