Информационная безопасность: новые времена – новые вызовы
Многие CIO, и не только они, озабочены неумолимым приближением 1 января 2010 года, когда наступят новые времена: контрольные органы начнут проверять компании на соответствие их систем информационной безопасности требованиям ФЗ-152 «О защите персональных данных».
На самом деле это – заблуждение. И сильно беспокоиться по поводу 01.01.10 вовсе не стоит. Хотя бы потому, что законов у нас много, законы разные, и согласно одному из них трудовая инспекция уже сегодня может прийти на предприятие или в компанию с проверкой и спросить: а как у вас обстоит дело с защитой персональных данных?
А вообще говоря, новые времена в сфере информационной безопасности наступили ещё раньше. Помните, году этак в 1992-м нормативные документы определяли, что, если на предприятии существует периметр безопасности, то этого, в большинстве случаев, достаточно. Теперь же само понятие «периметр безопасности» ушло в историю. С появлением мобильных пользователей, когда в корпоративную сеть можно войти по мобильному телефону откуда угодно, когда появились среды виртуализации, само понятие «периметр безопасности» потеряло смысл. И наступили новые времена. Появились новые вызовы, и возникла потребность в новых системах защиты информации. В том числе и защиты персональных данных.
Об этом шла речь на прошедшей в пятницу в Подмосковье конференции «Информационная безопасность: новые времена – новые вызовы». Разработчики и дистрибьюторы рекламировали свои новые продукты. Потребители внимательно слушали и задавали вопросы. Не только о возможностях новых продуктов, но и о том, что делать, если к вам пришли проверять ваши системы безопасности на соответствие требованиям закона 152-ФЗ. Ответ постарался дать представитель компании «Информзащита», которая предоставляет на рынке информационной безопасности услуги консалтинга и аудита: главное – не паниковать. Необходимо внимательно изучить все относящиеся к делу нормативные акты и, если к вам после 01.01.10 пришли проверяющие, при всякой возможности апеллировать к закону. Представитель «Информзащиты» рассказал, к каким законам и в каких случаях следует апеллировать.
Оказалось, что если строго следовать нормам законодательства, то проверяющие не так уж и всесильны, и им не так-то просто «кошмарить» бизнес. Хотя бы потому, что правила проведения проверок прописаны законодательно. Оказалось, что у юрлиц тоже есть кое-какие права. И, главное, если проверяющие нарушат какие-либо прописанные в законодательстве правила, то результаты проверки можно будет опротестовать. Теоретически. Потому что практики пока нет, и какой она будет – покажет время.
И ещё один вывод следует из состоявшегося обсуждения. Поскольку к мистической дате 01.01.10 только единицы компаний будут в полной мере соответствовать требованиям 152 закона, то всем остальным остаётся одно: думать не столько о том, как защитить персональные данные от несанкционированного доступа, сколько о том, как защитить себя от неприятностей при грядущих проверках.
Некоторые заинтересованные лица наполовину в шутку, наполовину в серьез рекомендуют несколько парадоксальный рецепт: в сфере учёта персональных данных следует вернуться к бумажному делопроизводству. Дескать, о бумажных носителях закон не упоминает, стало быть, и проблем не будет. Увы, это – миф. Эксперт напомнил, что вопросы защиты персональных данных на бумажных носителях затрагиваются в соответствующем постановлении правительства.
И всё же выход есть. Выход простой и где-то даже привычный: надо писать бумаги. Учитывая экономическую ситуацию, когда у предприятий очень часто просто нет денег на новые системы безопасности, учитывая сроки, в которые были выпущены нормативные документы, можно рассчитывать на то, что регулятор отнесётся с пониманием к тому, что работа не закончена. Но необходимо составить абсолютно внятные планы действий на разумную перспективу по приведению своих систем безопасности в соответствие с требованиями закона, документами ФСТЭК и ФСБ.
Надо утвердить необходимые регламенты и подписать договоры с компаниями-исполнителями. Если есть квалификации систем, есть модель угроз, есть договор с интегратором, который выполняет проектирование, то это – серьёзный разговор. Проверяющие должны видеть, что работа кипит и движется в правильном направлении. В большинстве случаев этого будет достаточно, полагают в Информзащите.
Ну а в отдельных случаях образцово-показательных порок, видимо, не избежать. Хотя бы потому, что задача вступления России в ВТО с повестки дня не снята, и необходимо показать всем, что закон действует, что Россия стремительно приближается в сфере защиты персональных данных к европейским нормам.
Напомним, что 152-ФЗ «О защите персональных данных» принимался в 2006 году в условиях, когда казалось, что до вступления в ВТО рукой подать. Тогда Россия взяла на себя совершенно конкретные обязательства. Так что откладывать, скорее всего, никто ничего не будет. Обещанные парламентские слушания – дело важное, но ожидать каких-то принципиальных корректировок вряд ли стоит. Ну а от головной боли при грядущих проверках большинству помогут правильно составленные бумаги, а отдельным «счастливчикам», увы, – гильотина.
Обсудить статью в форуме
Другие материалы раздела :
|
Версия для печати