Бюджет и закон: как выполнить требования ФЗ-152?
Федеральный закон "О персональных данных" вступает в силу с 1 января 2010. Однако неготовность большинства операторов к его выполнению признают даже государственные органы. Причины этого, а также специфические проблемы с исполнением закона у государственных и коммерческих организаций CNews обсудил с директором департамента ИБ группы "Рамэк" Сергеем Шибковым и начальником отдела комплексных систем безопасности Александром Буяновым.Интервью с топ-менеджером
Сергей Шибков: Реализация требований закона влечет за собой очень значительные финансовые вложения
CNews: Cогласно недавно опубликованным данным, к концу октября не более 5% операторов уведомили о защите персональных данных. C чем, на ваш взгляд, связана такая массовая неготовность к исполнению закона?
Сергей Шибков: Причины этого лежат на поверхности. Подписание закона о персональных данных было важным условием для вступления России в ВТО. И вот закон подписан, его надо выполнять, но, учитывая российский менталитет, сделать это оказалось непросто. Слишком долго мы “раскачиваемся”.
Для государственных организаций во многих случаях первопричиной промедления оказалось отсутствие финансирования: в этом году в силу сложившейся экономической ситуации средства на решение данной задачи просто не выделялись. В коммерческих организациях ситуация несколько иная. Сейчас они заняли выжидательную позицию и не спешат вкладывать деньги. Ведь до сих пор не решены многие проблемы юридического характера. Нормативные документы, которые должны обеспечивать выполнение закона, до сегодняшнего дня имеют массу неясностей, неточностей. Методики отработаны не в полном объеме. Все это затрудняет выполнение закона.
Существуют и чисто технические проблемы, мешающие реализации ФЗ-152. Задача по обеспечению безопасности персональных данных технически сложна для многих ИТ-структур, особенно государственных. Построение такого рода систем требует специальных знаний. Здесь возникают специфические вопросы, связанные с защитой информации, касающиеся, например, сертификации на отсутствие недекларированных возможностей программных продуктов, которые используются в сфере обработки персональных данных. Зачастую бывает невозможно получить исходные тексты этого ПО, в результате возникают затруднения с сертификацией по недекларированным возможностям.
Сергей Шибков: Выполнение требований ФЗ в госсекторе тормозит отсутствие финансирования в 2009 году
Важно так же отметить, что меры воздействия, применяемые сегодня к лицам, разгласившим персональные данные, незначительны. Для сравнения, в соответствии с федеральным законодательством США, человек, нарушивший закон о неразглашении персональных данных, может лишиться свободы на срок до десяти лет. У нас же пока на практике применяются только административные меры воздействия.
CNews: Какие еще проблемы правового и организационного характера, на ваш взгляд, тормозят исполнение закона?
Сергей Шибков: Некоторые требования закона близки к требованиям по защите информации, содержащей сведения, составляющие государственную тайну. К ним относятся: обязательная сертификация средств защиты и программного обеспечения обработки персональных данных, аттестация по требованиям безопасности информации, защита от побочных электромагнитных излучений и наводок. И здесь мы вновь возвращаемся к вопросу финансов. Реализация данных требований влечет за собой очень значительные финансовые вложения.
История развития компании
1992 год - год основания "Рамэк". Компания создается в целях обеспечения Министерства обороны качественной и надежной компьютерной техникой российского производства.
1992 – 1997 гг. - Открывается представительство в Москве в целях развития и расширения деятельности компании. "Рамэк" становится холдингом и развивает свои компетенции в области работы с крупными корпоративными заказчиками, государственными структурами и силовыми ведомствами. Создается департамент системной интеграции для развития экспертизы в области внедрения информационных систем уровня предприятия.