Рубрикатор |
Статьи |
10 августа 2011 |
Что сулят поправки в ФЗ «О персональных данных» для заказчиков СЭД - интервью членов Экспертного совета DOCFLOW
В июле были подписаны Президентом и опубликованы правки в федеральный закон «О персональных данных», определяющие случаи обработки персональных данных и сроки предоставления операторами информации по запросам граждан.
Сразу после принятия в третьем чтении законопроекта Госдумой, эксперты выразили ряд опасений относительно стоимости приведения информсистем в соответствие с принятыми нормами.
Мы уточнили у экспертов рынка СЭД, какое влияние окажут принятые правки на процессы, связанные с управлением электронным документооборотом; какие шаги следует предпринять компаниям-заказчикам для приведения ИС в соответствие с требованиями? Стоит ли ожидать повышения стоимости проектов внедрений СЭД? Можно ли удовлетворить требованиям закона собственными силами компании или затраты на помощь сторонних консультантов неизбежны?
На эти и другие вопросы ответили члены Экспертного Совета DOCFLOW и их представители.
Какие перемены несут поправки в ФЗ для компаний, чья деятельность включает автоматизированную обработку данных?
Закон конкретизирует понятия «персональные данные», «оператор», «обработка персональных данных» и т.д. Определяются случаи, допускающие обработку данных, определяются обязанности оператора и требования к хранению и обеспечению безопасности информации. Новая версия закона в определенной мере упрощает требования к операторам данных. Это, к примеру, касается активностей, связанных с получением согласия на обработку и передачу ПД на аутсорсинг. Расширено число случаев, не требующих получения согласия от субъекта. В то же время, ФЗ предусматривает ряд требований к защите данных, способных изменить политику операторов.
Наталья Храмцовская, ведущий эксперт компании ЭОС по управлению документацией: «Как мне кажется, права субъекта персональных данных несколько урезаются (в частности, резко увеличиваются сроки реагирования на заявления), а жизнь операторов отчасти облегчается, а отчасти усложняется, поскольку целый ряд требований к защите ПД перенесен из ведомственных нормативных и методических документов прямо в закон; появилось требование об обязательном предоставлении неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПД и т.п. Поправки, как мне кажется, могут оказаться очень неприятным сюрпризом для малых и средних предприятий, поскольку им всем теперь придётся защищать ПД почти что на уровне государственной тайны. Также, судя по всему, могут оказаться недействительными заключенные ранее с таким трудом отраслевые соглашения, смягчившие требования к защите персональных данных до относительно разумного уровня для школ, поликлиник и т.п. По-прежнему положения, регламентирующие порядок защиты ПД, не учитывают величину ущерба, возможного вследствие их раскрытия».
Вместе с тем, у экспертов остаются вопросы относительно того, как эти требования будут обеспечиваться в реальности, какие пояснения к основному закону будут установлены позже новыми подзаконными актами – постановлениями Правительства, ФСТЭК, ФСБ и Роскомнадзора.
Андрей Лубенец, Старший управляющий по корпоративным проектам, ABBYY Россия: «П.п. 1 и 2 Статьи 3 определяют понятия "персональные данные" и "оператор". В соответствии с этими определениями "оператором персональных данных" становится каждая государственная и муниципальная организация, каждое юридическое лицо и даже физическое лицо. Каждое юридическое лицо не зависимо от размера, от 1 сотрудника до 1 млн, т.к. у каждой организации, как минимум, есть персональные данные сотрудников и клиентская база. А юридических лиц в нашей стране более 3 млн. И каждой организации необходимо соответствовать требованиям данного ФЗ. Затрудняюсь представить, как на практике будут выглядеть меры по соответствию для компании, скажем, с численностью 10 человек. Надо ли каждой такой компании проходить аттестацию на соответствие? Кто в нашей стране будет выполнять аттестации? Сколько надо рабочих мест и средств для обеспечения "поголовной" аттестации? На мой взгляд было бы эффективнее законодательно определить меру ответственности за раскрытие персональных данных, а меры по обеспечению сохранности ПД оставить на усмотрение оператора. Это был бы саморегулирующийся механизм, и каждая организация выбирала бы адекватные способы защиты информации - условно скажем, малое предприятие хранило бы документы и базы с ПД в сейфе под замком, а оператор сотовой связи внедрял бы дорогостоящие средства шифрования и защиты данных. Но мы имеем то, что имеем, и к принятому Закону необходимы разъяснения и рекомендации, какие меры необходимо предпринять каждому типу организации для соответствия ФЗ.
К слову сказать, следуя букве Закона, каждый человек становится ответственным за сохранность своей телефонной книги, и нарушит ли он Закон, если сообщит другу телефон парикмахера без его предварительного согласия (ст. 7. Конфиденциальность ПД)?»Павел Овчинников, Менеджер по маркетингу, компания DIRECTUM: «Если говорить о существующей базе, то за последние год-два произошли довольно существенные изменения в сторону либерализации требований - было прекращено действие двух самых одиозных документов. Тем не менее, остаются формальные требования применять достаточно дорогостоящие средства защиты, строить модель угроз, разрабатывать внутренние документы. Не всегда у организации есть компетенция в подобного рода вопросах – придется или принимать на работу специалистов по безопасности, либо воспользоваться специализированными услугами по защите информации. Не могу отделаться от мысли, что цель поправок – сохранить бизнес и обеспечить нерыночные условия для роста организациям, специализирующихся на защите информации, а также трудоустроить бывших работников силовых структур»
Эксперты предполагают, что можно ожидать рост стоимости внедрения проектов СЭД, но связан он будет, не столько с качественными изменениями СЭД или стоимости их интеграции, сколько в объеме нового функционала по обработке ПД. А этот показатель индивидуален для каждой организации.
Компании, проводящие прогрессивную политику в отношении электронного документооборота, вряд ли испытают критичные затруднения, однако блоку задач, посвященных обработке данных, придется отвести чуть большее внимание, и, возможно, бюджеты. Организации, которые прежде не занимались вопросами защиты ПД вообще, столкнуться с существенными новыми затратами.
Дмитрий Романов, директор по развитию технологий информационного менеджмента компании АйТи: «Я ожидаю, что вначале будет небольшой рост стоимости проектов. Это связано с тем, что в проектах, которые начинались некоторое время тому назад, возможно увеличение стоимости работ, связанных с защитой персональных данных. А в целом, через некоторое время, общая ситуация на рынке вернется к прежнему состоянию, поскольку системы будут доработаны и смогут поддерживать требования закона в полном объеме».
Павел Овчинников: «Я бы не стал ставить знак равенства между СЭД и персональными данными. Не всегда в СЭД хранятся персональные данные, и не все персональные данные хранятся в СЭД. В ходе внедрения программного продукта, обрабатывающего, в том числе и персональные данные, думаю, всегда будут возникать вопросы: кто и как будет обеспечивать защиту персональных данных. У вендоров выбор, по сути, небольшой: получать новую компетенцию, взять в партнеры организацию, оказывающую услуги по защите информации или же потерять проект. Если потребуются дополнительные услуги – возрастет и стоимость проекта для заказчика».
Эксперты предполагают, что есть возможность роста количества запросов к производителям СЭД о содействии в приведении ИС в соответствие с новыми требованиями ФЗ.
Дмитрий Романов: «Как показывает практика, такие обращения к производителям были и два года и год назад, когда приближался очередной «срок изменения». Можно ожидать, что сейчас изменения все-таки будут приняты и заказчики обратятся к производителям за помощью».
Павел Овчинников: «Заказчики задавали вопросы по защите персональных данных и раньше, и крупные отечественные ECM-вендоры довольно успешно наладили просветительскую работу среди клиентов и партеров по защите персональных данных в СЭД».
Владимир Горностаев, директор Центра компетенции по защите информации, компания «ИнтерТраст»: «Если считать «новыми требованиями» дополнения, внесенные в 152-ФЗ в этом году, то количество запросов не изменится, так как они не затрагивают требований по обеспечению их защиты при обработке персональных данных в информационных системах персональных данных».
В отношении степени готовности производителей решений к внесенным изменениям, мнения экспертов индивидуальны.
Наталья Храмцовская отмечает: «Подпункт 3 п.2 новой редакции ст.19 о мерах по обеспечению безопасности данных при их обработке говорит о том, что обеспечение безопасности ПД достигается, в частности, «применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации». Сомневаюсь, что все отечественные продукты готовы к такого рода требованиям.»
По оценкам Дмитрия Романова: «Большинство программных продуктов российских производителей к новым требованиям готовы. Поскольку требования появились не вчера, про них все давно знали и к их реализации готовились. К тому же, никаких сверхъестественных требований к операционным системам федеральный закон не выдвигает».
Андрей Лубенец: «По опыту нашей компании, функции, которые позволяют обеспечить приватность персональных данных при сканировании и верификации документов, уже реализованы в программных продуктах. Изначально подобные требования появились от европейских и американских заказчиков, а теперь мы можем применить эти функции и в России».Владимир Горностаев говорит о том, что «основные разработчики программного обеспечения, используемого для создания СЭД, «облегчили жизнь» своим заказчикам, получив сертификат соответствия по требованиям безопасности на свой программный продукт».
Риск уступить по привлекательности западным компаниям, российских вендоров не пугает.
Дмитрий Романов: «Западные компании привыкли иметь дело со своим законодательством, и их программное обеспечение приводилось в соответствие именно с ним. Теперь же им придется удовлетворять и требованиям российского законодательства».
Наталья Храмцовская: «Не думаю, что поправки дадут какое-то явное преимущество зарубежным продуктам. Вполне может произойти и обратное – очень многое будет зависеть от политики регуляторов.
За рубежом используются иные подходы к защите персональных данных. Организации там наказываются за реально причиненный ущерб, а не за отсутствие политик и использование несертифицированного ПО, - поэтому, возможно, западным продуктам потребуется больше усилий, чтобы соответствовать требования нашего законодательства».
Владимир Горностаев: «Выполнение требований 152-ФЗ по обработке персональных данных не заканчивается только программным продуктом российских производителей. «Новая» версия ФЗ не дает никаких преимуществ западным компаниям на российском рынке».
Павел Овчинников: «Российские ECM-вендоры начали формировать свою позицию по защите персональных данных уже пару лет назад. Защита персональных данных – это лишь часть требований, поэтому принятие поправок не изменит привлекательность отечественных или зарубежных ECM-продуктов.
Начинать же приведение информсистем в соответствие с требованиями нового ФЗ следует, по мнению экспертов, с тщательного аудита имеющихся ресурсов и выявления всего массива используемых ПД.
Дмитрий Романов: «Совершенно однозначно, компаниям, чьи информационные системы не будут удовлетворять требованиям ФЗ, предстоит привести их в соответствие с законодательством. Необходимо будет провести процесс доработки. И это касается не только систем электронного документооборота, но и огромного количества других ИС, которые взаимодействуют с персональными данными. Для приведения систем в надлежащий вид, в первую очередь, необходимо будет провести аудит имеющихся ИС, выявить персональные данные. Далее последует разработка концепции соответствия корпоративных ИС требованиям закона о персональных данных и определение необходимых технических и организационных мероприятий. Затем, если требуется установка новой версии системы или обновление текущей, необходимо обратиться к вендору. Вполне возможно, что система уже давно готова к новым требованиям и необходимо просто включить определенный функционал».
С этим согласен и Владимир Горностаев, полагая, что уже «большинство организаций проводили необходимую работу по приведению своих систем в соответствие с требованиями 152-ФЗ».
До тех пор, пока новых подзаконных актов не принято, следует провести анализ действующих информационных систем для выявления потенциала и возможных рисков, согласно действующему законодательству.
Павел Овчинников: «Закон не устанавливает, какие именно меры должны по защите персональных данных должны применяться тем или иным оператором – эти требования устанавливаются на уровне подзаконных актов. В настоящий момент действуют Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных», «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Новых подзаконных актов не принято, так что требования для операторов не изменились».
Наталья Храмцовская полагает, что «нужно подождать и посмотреть, как будут развиваться события. Суровость российских законов нередко компенсируется возможностью их не выполнять (это мы наблюдали на примере практической реализации первой редакции закона). Во всяком случае, для тех, кто собирается в полной мере защитить обрабатываемые ПД, порядок действий, скорее всего, останется прежним»
Смогут ли компании привести свои ИС в согласие с требованиями самостоятельно?
Очевидно, что благодаря времени, которым располагали компании с момента вступления в силу прошлой версии ФЗ, многие крупные организации имеют ресурс для самостоятельного развития информсистем. Средним и мелким организациям, вполне возможно, потребуется помощь внешних консультантов.
Наталья Храмцовская: «Массовый небогатый клиент не сможет оплачивать дорогостоящие консультационные услуги, и ему придется решать проблему своими силами. В конце концов, большая часть необходимых мер носит не технический, а организационно-правовой характер. Вендоры смогут помогать желающим путем подключения соответствующих технических средств, консультирования, предоставления типовых пакетов документов и т.д. Целый ряд организаций уже несколько лет оказывает услуги по приведению информационных систем в соответствие с требованиями законодательства о ПД, и они наверняка сумеют быстро приспособиться к новым условиям».
Дмитрий Романов: «Все зависит от наличия соответствующих экспертов. Если в компании есть эксперты, на должном уровне разбирающиеся в продукте и способные качественно провести необходимые мероприятия, то обращения к вендору не потребуется. Если же в компании таковых экспертов нет, то есть несколько путей. Компании, заключившие договор техподдержки, просто получат необходимый функционал с очередным обновлением системы. Если же заказчик отказался от техподдержки или при внедрении использовалась заказная разработка, то следует обратиться к своему менеджеру и с ним решать все вопросы по приобретению дополнительного функционала.»
Павел Овчинников: «В настоящее время операторам, если в их штате нет квалифицированных специалистов по защите информации, будет трудно самостоятельно построить защиту персональных данных. Помочь им в этом смогут компании, специализирующиеся в защите информации, а также интеграторы или вендоры. Для этого вендорам необходимо обладать компетенцией в сфере защиты персональных данных, а если вендор решит оказывать профессиональные услуги, то ему, кроме этого, еще потребуются все необходимые лицензии».
Владимир Горностаев: «Если в компании есть специалисты, то без больших проблем. Все работы должны выполняться самостоятельно, но с привлечением профессиональных консультантов в данной области. Несомненно, вендоры должны обеспечить выполнение необходимых требований по безопасности, чтобы их решения применялись при создании систем, обрабатывающих персональные данные. К работам необходимо привлекать не только специалистов по информационной безопасности и информационным технологиям, но и специалистов в правовой области».
Федеральный закон «О внесении изменений в Федеральный закон «О персональных данных» принят Госдумой 5 июля и одобрен Советом Федерации 13 июля 2011 года.