Поправки к закону "О персональных данных" облегчат жизнь операторов?
26 июля 2011 года Дмитрий Медведев подписал законопроект "О внесении изменений в Федеральный закон "О персональных данных". Поправки к закону в определенной мере упрощают требования к операторам данных, в частности на получение согласия на обработку и передачу ПД на аутсорсинг. Расширено число случаев, не требующих получения согласия от субъекта. В то же время новая редакция закона вызвала у экспертов ряд вопросов и опасений, в том числе относительно стоимости приведения информсистем в соответствие с принятыми нормами. Члены экспертного совета Docflow поделились своим мнением о том, какое влияние окажут принятые правки на процессы, связанные с управлением электронным документооборотом.
Несмотря на некоторое смягчение требований нового ФЗ, касающихся сбора и работы с персональными данными, а также срока реагирования на запросы по предоставлению информации, очевидно, что внесение поправок потребует больших усилий для обеспечения защиты обрабатываемых данных. Оператор персональных данных - которым согласно новому ФЗ становится каждая государственная и муниципальная организация, каждое юридическое лицо и даже физическое лицо - должен быть готов к увеличению затрат на организацию защиты своих информсистем. Как отметил Павел Овчинников, менеджер по маркетингу, компания Directum, в новой редакции остаются формальные требования применять достаточно дорогостоящие средства защиты, строить модель угроз, разрабатывать внутренние документы. Не всегда у организации есть компетенция в подобного рода вопросах – придется или принимать на работу специалистов по безопасности, либо пользоваться специализированными услугами по защите информации.
"Поправки, как мне кажется, могут оказаться очень неприятным сюрпризом для малых и средних предприятий, поскольку им всем теперь придется защищать ПД почти что на уровне государственной тайны, - считает Наталья Храмцовская, ведущий эксперт компании ЭОС по управлению документацией. – Также, судя по всему, могут оказаться недействительными заключенные ранее с таким трудом отраслевые соглашения, смягчившие требования к защите персональных данных до относительно разумного уровня для школ, поликлиник и т.п. По-прежнему положения, регламентирующие порядок защиты ПД, не учитывают величину ущерба, возможного вследствие их раскрытия".
Для крупных организаций практическая реализация новых требований не потребует особых усилий. Многие из них начали развивать свои информационные системы еще с момента вступления в силу прошлой версии ФЗ. А вот средним и мелким организациям, вполне возможно, потребуется помощь внешних консультантов. В связи с этим эксперты ожидают увеличение количества запросов к производителям СЭД о содействии в приведении ИС в соответствие с новыми требованиями.
"В настоящее время операторам, если в их штате нет квалифицированных специалистов по защите информации, будет трудно самостоятельно построить защиту персональных данных, - считает Павел Овчинников. – Помочь им в этом смогут компании, специализирующиеся в защите информации, а также интеграторы или вендоры. Для этого вендору необходимо обладать компетенцией в сфере защиты ПД, а если он решит оказывать профессиональные услуги, то, кроме этого, потребуются все необходимые лицензии".
"Массовый небогатый клиент не сможет оплачивать дорогостоящие консультационные услуги, и ему придется решать проблему своими силами, - пояснила Наталья Храмцовская. – В конце концов, большая часть необходимых мер носит не технический, а организационно-правовой характер. Вендоры смогут помогать желающим путем подключения соответствующих технических средств, консультирования, предоставления типовых пакетов документов и т.д. Целый ряд организаций уже несколько лет оказывает услуги по приведению информационных систем в соответствие с требованиями законодательства о ПД, и они наверняка сумеют быстро приспособиться к новым условиям".
Эксперты предполагают, что в ближайшее время можно ожидать рост стоимости внедрения проектов СЭД, но связан он будет не столько с качественными изменениями СЭД, сколько с объемом нового функционала по обработке ПД. "Я ожидаю, что вначале будет небольшой рост стоимости проектов, - заявил Дмитрий Романов, директор по развитию технологий информационного менеджмента компании "АйТи". – Это связано с тем, что в проектах, которые начинались некоторое время назад, возможно увеличение стоимости работ, связанных с защитой персональных данных. Через некоторое время ситуация на рынке вернется к прежнему состоянию, поскольку системы будут доработаны и смогут поддерживать требования закона в полном объеме".
Вместе с тем опасение экспертов вызывает то, что далеко не все российские производители СЭД на сегодняшний день готовы обеспечить соответствие своих решений внесенным изменениям. Наталья Храмцовская выразила в этом сомнение, а по оценкам Дмитрия Романова большинство программных продуктов российских производителей все же готовы к новым требованиям. "Требования появились не вчера, про них все давно знали и к их реализации готовились, - пояснил эксперт. – К тому же никаких сверхъестественных требований к операционным системам федеральный закон не выдвигает".
Однако, по мнению экспертов, в сложившейся ситуации зарубежные вендоры едва ли смогут получить преимущество на российском рынке, поскольку их решения ориентированы на законодательство своих стран. Как пояснила Наталья Храмцовская: "За рубежом используются иные подходы к защите персональных данных. Организации там наказываются за реально причиненный ущерб, а не за отсутствие политик и использование несертифицированного ПО. Поэтому, возможно, западным продуктам потребуется больше усилий, чтобы соответствовать требованиям нашего законодательства".
© @Astera