Круговая оборона владельцев досье

88
Регулирование. Применение закона о защите персональных данных бессистемно, а его доработка принесет компаниям только новые сложности. Зато на IT-рынке появился новый сектор объемом до $100 млн только в 2010 году.

Немного в сравнении со всем российским рынком IT-услуг, объем которого за 2009 год оценивался компанией IDC в $3,6 млрд. Впрочем, узкая ниша на глазах увеличивается в разы.
Закон № 152 «О защите персональных данных» (ЗПДн), утвержденный четыре года назад, но вступивший в силу только 1 января 2010 года, сформировал отдельный сектор IT-рынка: к 1 января 2011 года операторы персональных данных обязаны создать системы защиты. Оценки экспертов сильно рознятся. Например, руководитель направления защиты персональных данных компании «Инфосистемы Джет» Олег Слепов оценивает российский рынок ЗПДн в 2010 году в $75 млн, при этом 60% рынка приходится на поставки средств защиты информации. «Высокий показатель, если исходить из того, что большинство компаний предпочитают «дождаться» правоприменительной практики и не проводят полного комплекса мероприятий, предполагаемого требованиями по защите персональных данных», – замечает он. Заместитель директора департамента продуктов и услуг LETA IT-company Евгений Царев уверен, что объем рынка защиты персональных данных в 2010 году превысит $100 млн.

Затраты. Данные и системы, их обрабатывающие, делятся на категории от К1 (самый высокий уровень защиты) до К4. Чем выше класс, тем дороже работа. Любой проект по реализации требований закона о ЗПДн предполагает консалтинговую часть и непосредственно автоматизацию. Затраты на консалтинг, если сравнивать с внедрением бизнес-приложений, относительно невысоки и составляют около 15% стоимости всего проекта. Основная часть расходов приходится на закупку средств защиты. По оценкам Олега Слепова, затраты банка средней величины составляют примерно 15 млн рублей, а вот крупная территориально-распределенная компания может потратить от 50 млн рублей непосредственно на обследование, разработку документации, оценку соответствия придется 2–3 млн рублей. «Стоимость проекта на 300–400 рабочих станций может составлять 5–10 млн рублей, свыше 1000 рабочих станций – 20–25 млн рублей», – уточняет директор департамента информационной безопасности компании «Кабест» Иван Бурдело.
Формальная часть занимает треть времени всего проекта. «Если проект выполняется силами интегратора, то разработка сопутствующей документации занимает 2–4 месяца, внедрение программного и аппаратного обеспечения – до полугода, – уточняет руководитель направления информационной безопасности компании «Крок» Михаил Башлыков. – При реализации проекта собственными силами заказчика на формальную часть, как правило, уходит 4–6 месяцев, на техническую – 6–12 месяцев». «Для малых организаций, где используются автономные рабочие места, основное время занимает разработка документации (вплоть до соотношения 10:1), – говорит начальник отдела информационной безопасности бизнес-систем IBS Дмитрий Романченко. – Стоимость средств защиты автономных рабочих мест с использованием сертифицированных средств незначительна». Иван Бурдело напоминает, что самый неопределенный по времени этап – это опытная эксплуатация, когда идет перестройка бизнес-процессов. «Сроки зависят от масштаба и сложности проекта и могут составлять от двух недель до года», – говорит он.
Тем, у кого нет лишних миллионов, IT-компании предлагают различные варианты экономии. Евгений Царев считает, что основной путь минимизации расходов – тщательный выбор консультанта. Обычно работы проводятся в два этапа:
• обследование и создание организационно-распорядительной документации,
• проектирование и внедрение.
Основные расходы, следовательно, возможность их сокращения, возникают на этапе внедрения. А стоимость конечного решения зависит от квалификации консультанта, который привлекается на проектирование. «Если подрядчик выиграл конкурс на первый этап, то, скорее всего, он будет также проводить проектирование и внедрение, так как подходы консультантов различаются, и далеко не всегда они могут принять промежуточные результаты друг друга, – объясняет Евгений Царев. – И если консультант победил на первом этапе за счет низкой цены, в договоре на второй этап может заложить сверхприбыль. Поэтому выбирать консультанта нужно не на основании не цены, а опыта и репутации».
Классический путь – понижение класса персональных данных. «Часто в информационных системах обрабатываются данные, от защиты которых компания может отказаться, например справка о состоянии здоровья или семейном положении. Если отнести эти данные к К4, то компания уже не потратит дополнительных средств на их защиту», – советует Иван Бурдело. Распространенный метод – ограничение числа операционистов. Тем самым сокращаются область защиты и стоимость соответствующих работ.

Дыры в законе. Несмотря на затраченные средства, операторы ПДн не могут быть уверены в абсолютном соответствии своей деятельности условиям закона. Постоянно требуются новые разъяснения, поправки и доработки. Наиболее явный «прокол» – полное отсутствие разъяснений по поводу трансграничной передачи данных. Например, кто отвечает за сохранность ПДн, если информация передается за рубеж? Мало того, нет ясности, даже если данные передаются между организациями внутри России. «Когда компания обменивается ПДн с государственной структурой, скажем, с ФНС, она должна обеспечить защиту данных, выходящих за пределы контролируемого ею периметра, – рассказывает руководитель направления департамента сетевой интеграции компании «Ланит» Алексей Баданов. – Но кто несет ответственность за сохранность данных от неразглашения при таком взаимодействии? Четкого ответа нет».
Далее, сами средства защиты информации должны соответствовать требованиям закона. Это соответствие может быть подтверждено или сертификатом или декларацией соответствия. Требования к декларации нигде не прописаны. Получается, что документ может родиться у любого разбирающегося в теме автора. Наконец, по закону все операторы обязаны технически защищать ПДн, а их деятельность по технической защите должна быть лицензирована. Выглядит так, что любая поликлиника с лицензией получает возможность строить механизмы защиты по своему усмотрению. Вряд ли законодатели имели это в виду.
Существует классификатор типовых информационных систем ПДн (ИСПДн), но применять его удается крайне редко. «От силы до 5% всех ИСПДн подпадают под эту классификацию, а для специализированных систем методики классификации не существует, – объясняет Михаил Башлыков. – В результате заказчик вынужден либо выполнить комплекс защитных мер наугад – появляется риск несоответствия закону, или не принимать никаких мер и тогда нарушить закон».
По мнению Ивана Бурдело, основная сложность в том, что в законе нет определения, какую именно совокупность данных следует защищать. «Под понимание ПДн попадает любая информация – фамилия, имя, образование, профессия, доходы, имущественное положение. В разрозненном виде она не представляет интереса, так как невозможно идентифицировать человека только по фамилии или только по возрасту, – рассуждает он. – Лишь совокупность данных дает полную картину о физическом субъекте. Поэтому возникает проблема, какие данные следует защищать и к какому классу защиты их определить».
Главный камень преткновения: от граждан требуется подписывать разрешение на обработку их персональных данных. В то же время существует множество вариантов/услуг, когда личное визирование невозможно. Пример: перевод денег через систему денежных переводов. То есть получатель не является клиентом системы или банка, чьими услугами пользуется система. Конечно, согласие можно подтверждать не только рукописной подписью, сегодня достаточно электронных средств общения. Но в случае разногласий будет виноват оператор. «Если организация утверждает, что появление знака согласия («галочки») под текстом договора в электронной форме дает основание для заключения договора с субъектом ПДн, то при конфликте и судебных разбирательствах человек может отказаться от этих действий, сослаться на вирус или действия третьих лиц, – уверен Михаил Башлыков. – Следовательно, субъект ПДн не заключал договор и не обязан соблюдать его условия».
«Сегодня официально зарегистрировано около 128 тыс. операторов ПДн, – рассказывает Михаил Башлыков. – При этом, по оценкам регуляторов, общее количество российских компаний, выполняющих обработку персональных данных, составляет около 7 млн».

Методические рекомендации по управлению финансами компании



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Школа

Школа

Проверь свои знания и приобрети новые

Записаться

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...


Рассылка




© 2007–2016 ООО «Актион управление и финансы»

«Финансовый директор» — практический журнал по управлению финансами компании

Зарегистрировано Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации Эл №ФС77-43625 от 18.01.2011
Все права защищены. email: fd@fd.ru


  • Мы в соцсетях
×
Зарегистрируйтесь на сайте,
чтобы скачать образец документа

В подарок, на адрес электронной почты, которую Вы укажете при регистрации, мы отправим форму «Порядок управления дебиторской задолженностью компании»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Зарегистрируйтесь на сайте,
чтобы продолжить чтение статьи

Еще Вы сможете бесплатно:
Скачать надстройку для Excel. Узнайте риск налоговой проверки в вашей компании Прочитать книгу «Запасной финансовый выход» (раздел «Книги»)

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль