Своим мнением о законе "О персональных данных" поделилась Наталья Касперская, которая является генеральным директором InfoWatch, председателем совета директоров "Лаборатории Касперского" ...

Своим мнением о законе "О персональных данных" поделилась Наталья Касперская, которая является генеральным директором InfoWatch, председателем совета директоров "Лаборатории Касперского".
Госдума отложила сроки приведения информационных систем в необходимое соответствие с ФЗ "О персональных данных" ещё на один год. Страхи перед проверками, планировавшимися с января 2010, немного поутихли?
Госдума имела серьёзные причины, чтобы перенести срок, которые заключаются и внутри закона, и вне его. Что касается внутренних причин - закон совсем неопределенно определяет действия, необходимые для того, чтобы полностью ему соответствовать, что создает серьезные проблемы для субъектов закона. На данный момент необходимость соответствия трактуется следующим образом: при наличии персональных данных, нужно обратиться к сертифицированному интегратору, который наладит процессы.
И что будет, когда большинство российских компаний отправиться к скромному числу интеграторов, чтобы "наладить процессы"?
Конечно, откупиться будет проще. Такие законы есть и в Европе, и в Штатах. Там для соответствия законам нужно просто установить систему, которая призвана защищать предприятие от утечек или обеспечить определённый уровень информационной безопасности. Совершенно прозрачный подход: приобретаешь систему рекомендованного класса - и сертификат соответствия у вас в кармане.
А в нашем случае закупка системы указанного класса не есть достаточное и необходимое условие "соответствия"?
Закон вовсе не устанавливает перечень обязательных средств защиты, в то время как системы борьбы с утечками логично было бы сделать обязательными для данных высшей категории. Отметим, что 11 декабря были приняты во втором чтении поправки к 152-ФЗ, которые исключают шифрование из числа обязательных способов защиты. И что в таком случае остается? Антивирусы? Но решением проблем защиты персональных данных антивирус занимается опосредованно.
По какой причине в подзаконные акты не вошли специализированные инструменты борьбы с утечками?
Непонятно. Может, законодатели не подозревали о них, а может не посчитали их в необходимой степени эффективными, может, просто DLP-вендоры не принимали участия в законотворчестве по этому вопросу и не имеют соответствующих отношений с государственными "регуляторами".
Что нужно, чтобы закон "О персональных данных" эффективно работал?
Нужно бы вообще переписать его заново. В теперешнем виде он заставляет операторов не защищать информацию, а выполнять требования госорганов, предусматривает наказания не за утечку информации и не за нанесение ущерба субъектам ПД, а лишь за невыполнение ведомственных приказов. Таким образом, создается почва для злоупотреблений, а проблема не решается.
Помимо того, объёмы защищаемой информации и строгость защитных мер слишком завышены. Исполнение обозначенных требований совершенно незначительно снижает риски, а вложений требует очень значительных. Здесь стоит обратить внимание на опыт США, там с ПД мошенничают очень давно. И подход там несколько противоположный европейскому и российскому. В Европе персональные данные определяются максимально широко и защищаются "на всякий случай". А в США чётко перечислены данные, которые обязательно нуждаются в надёжной защите, то есть те, с помощью которых можно украсть деньги, включая номера банковских карточек, номера соцстрахования и некоторые другие виды ПД.
// "Мастер-сервис", ремонт компьютеров в Москве.