Leta присмотрелась к чужим данным
АННА АФАНАСЬЕВА
© ComNews
16.03.2011
ИТ-компания Leta планирует выпустить дешевую коробочную услугу, включающую софт и консалтинговые услуги, которая позволит компаниям среднего и малого бизнеса защитить свои информационные системы от утечек согласно требованиям закона "О персональных данных". Закон начнет действовать в полную силу 1 июля 2011 г., но многие компании до сих пор не готовы к проверкам систем безопасности. Участники ИТ-рынка прогнозируют очередную волну спроса на услуги защиты персональных данных уже осенью - после первых плановых проверок.
С 1 января 2011 г. в России вступил в силу обновленный закон "О персональных данных", разработка которого велась несколько лет. Он был принят летом 2006 г., а в январе следующего года вступил в силу. Однако из-за непроработанности многих положений закон не работал вплоть до весны 2009 г. 16 марта 2009 г. правительство назначило Роскомнадзор уполномоченным органом по защите прав субъектов персональных данных. Технические требования к информационным системам персональных данных (ИСПДн) должны были вступить в силу с 1 января 2010 г., но рынок оказался к этому не готов. В декабре 2009 г. Госдума спешно приняла поправки в закон, в соответствии с которыми срок вступления в силу требований к ИСПДн был перенесен на 1 января 2011 г. (см. статью в журнале "Стандарт" №11 (94) за ноябрь 2010 г.). А 23 декабря прошлого года закон "О персональных данных" подвергся еще одному изменению: "Информационные системы, созданные до 1 января 2011 г., должны быть приведены в соответствие с требованиями настоящего ФЗ не позднее 1 июля 2011 г.".
Те компании, у которых были возможность и желание соблюсти требования закона, уже сделали это или начали, по крайней мере, готовиться, полагает президент Leta Group Александр Чачава. "Но до сих пор существует ряд операторов персональных данных, для которых рынок не предложил приемлемого варианта приведения информационных систем и технических средств в соответствие с требованиями закона. В первую очередь это компании SMB. Мы работаем над выведением на рынок дешевой коробочной услуги для таких компаний", - поделился он с ComNews. По его словам, в рамках этого решения Leta будет предлагать пакет документов, сопоставимых с системой заказчика, программное обеспечение и консалтинговые сервисы - например, телефонную консультацию. "Скажем, компания покупает подписку на продукт и получает какое-то количество бесплатных часов общения с телефонным консультантом, - поясняет Александр Чачава. - Мы еще формулируем услугу. Ее стоимость составит около 100 тыс. руб. Сейчас цены на подобные услуги выше в 15-20 раз". Он ожидает взрыва спроса на услуги защиты персональных данных уже осенью - после первых плановых проверок систем безопасности на соответствие требованиям законодательства.
Заместитель генерального директора компании InfoWatch Рустэм Хайретдинов убежден, что привести информационную систему в соответствие с законом "О персональных данных" невозможно при помощи только технического решения. "Требования, вытекающие из закона, не касаются технической части ИС, но только организационной и правовой. Более того, привести в соответствие можно, вообще не притрагиваясь к ИС, не меняя в ней ни единого бита, ни единого проводка. Многие предприятия именно по этому пути и пошли", - рассуждает он. По словам Хайретдинова, полноценная DLP-система (Data Leak Prevention - технология предотвращения утечки данных из информационной системы) "из коробки" невозможна. "Leta не предлагает DLP в коробке, а предлагает защиту информационной системы персональных данных в коробке. Успех защиты ИСПДн из коробки - их собственный риск", - предупреждает он.
Роскомнадзор начал проводить проверки с весны 2009 г. Представитель Роскомнадзора Михаил Воробьев напоминает, что в этому году к ним должны добавиться проверки Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ) на предмет соответствия ИСПДн операторов техническим требованиям положения "О методах и способах защиты информации в информационных системах передачи данных".
Введенное законом определение "оператор персональных данных" распространяет его на сотни тысяч учреждений, государственные и частные, коммерческие и некоммерческие предприятия, общественные организации. С марта 2009 г., когда был определен ответственный орган, компании обязаны уведомлять Роскомнадзор о том, что они обрабатывают данные. По состоянию на ноябрь 2010 г. такие уведомления подали лишь менее 3 % компаний.
Под "персональными данными", согласно закону, подразумевается любая информация, относящаяся к определенному или определяемому на основании такой информации физлицу (субъекту персональных данных), в том числе его имя, дата и место рождения, адрес, семейное, имущественное, социальное положение, образование, профессия, доходы и т.д.
Ассоциация региональных операторов связи (АРОС) убеждена, что закон недоработан. Месяц назад она направила в Минкомсвязи и Госдуму предложения по изменению ФЗ "О персональных данных", которые должны заставить его работать в полной мере (см. новость ComNews от 2 февраля 2011 г.). Вчера департамент информации и общественных связей Минкомсвязи сообщил ComNews, что министерство рассмотрело обращение АРОС. Однако сейчас в Госдуме на рассмотрении уже находится проект поправок к закону "О персональных данных", внесенный депутатом Владиславом Резником, и до его принятия формировать новые поправки преждевременно, считают чиновники Минкомсвязи. Поправки прошли первое чтение 5 мая 2010 г. (см. новость на ComNews от 6 мая 2010 г.). "Сейчас законопроект находится в стадии подготовки к рассмотрению во втором чтении", - сказал представитель министерства.