Принятый в июле 2006 года и с тех пор незатихающе обсуждаемый закон “О персональных данных”, вносит еще больше смятения и путаницы и в без того непростую ситуацию с законодательством в сфере защиты информации.
Закон “О персональных данных” вступает в силу с 2010 года и крупным операторам персональных данных уже надо предпринимать срочные меры, чтобы не подвергать себя рискам приминения к ним санкций со стороны государства. Меры эти заключаются в выполнении весьма нетривиальных требований Закона и выпущенных на его основе нормативных актов, а именно:
- Регистрация в качестве оператора персональных данных в Россвязькомнадзоре
- Разработка и принятие документов, регламентирующих вопросы предоставления доступа и защиты персональных данных, оформления допусков сотрудников к этим данным
- Формирование перечня обрабатываемых персональных данных, классификация информационных систем персональных данных (ИСПД) и подготовка этих систем к аттестации по требованиям безопасности, что влечет за собой также сертификацию СЗИ и СОИ, используемых в составе ИСПД
- Операторам ИСПД первого и второго класса, кроме того, предписывается получать лицензии ФСТЭК на ТЗКИ, либо отдавать обслуживание таких систем на аутсорсинг лицензиатам ФСТЭК
Прежде всего возникает вопрос, а возможно ли вообще на практике обеспечить выполнение требований данного закона? Например, для выполнения требования о регистрации операторов персональных данных, необходимо как минимум провести всероссийскую перепись населения и юридических лиц! Ведь, согласно определению Закона, оператор ПД – это “государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных”. Под персональными данными понимается “любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу”, а под обработкой ПД понимаются любые действия с ними, включая их хранение.
У каждого из нас в мобильном телефоне имеется база персональных данных, обрабатываемая с использованием средств автоматизации. База персональных данных по клиентам и контрагентам имеется также у любой организации. Если руководствоваться принятыми определениями, то в России насчитываются десятки миллионов операторов персональных данных, которые должны быть зарегистрированы надлежащим образом в Россвязькомнадзоре. Посему мне, например, непонятно каким образом будет выполняться данное требование закона. Есть сильное подозрение, что государственные контролирующие органы, в конечном счете, сами будут решать к кому применять, а к кому не применять нормы закона.
Забота государства о своих гражданах и их конституционных правах понятна и обоснована. Однако на деле все опять же сводится к выписыванию бумажек (лицензий, сертификатов и аттестатов), которые обходятся весьма недешево, но на практике защищают не персональные данные граждан, а лишь обладателей этих бумажек от возможных “наездов”, создавая дополнительный фронт работ для тех, кто эти бумажки выписывает. Если раньше аттестация АС носила добровольный характер для большинства негосударственных организацией, то теперь почти в каждой организации можно найти объекты, подлежащие обязательной аттестации. Эта ситуация будет способствовать избирательности применения данных норм и их свободной трактовке как со стороны регулирующих органов, так и со стороны тех, кому предписано эти нормы выполнять. В результате, как обычно, получаем перекладывание денег из одних карманов в другие.