Беседа о персональных данны и выполнении закона № 152-ФЗ. Диалог видут представители CIO-клуба Антон Земцов (директор CIO-клуб), Александр Сметанин (ГК "Система Глобус") и Михаил Русаков (бизнес-газета Навигатор).

 - Не позднее 1 января 2011 года все информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями Федерального закно 152-ФЗ.

   - С начала июня этого года в нашем городе начал работу «Клуб IT-директоров», миссией которого является решение насущных проблем IT-сообщества. 29 октября по инициативе Клуба в нашем городе состоялась конференция, посвященная Закону о защитеперсональных данных, 152- ФЗ. О подводных камнях этого закона и проблемах «айтишников» мы поговорили с руководителем Клуба ИТ-директоров Кировской области Антоном Земцовым. 
   - Для начала давайте определим, что такое персональные данные? Это любая информация, относящаяся к определенному физическому лицу, в том числе его фамилия, имя и отчество, адрес, год, месяц, дата и место рождения, социальное, семейное и имущественное положение, профессия, образование, доходы и т.д. Все учреждения, которые обрабатывают эти сведения в электронном виде, законом определены как операторы персональных данных. С нового года все операторы ПДн обязаны привести все свои информационные системы в соответствие требованиям Закона, - поясняет Антон Земцов.  
 

- Вопрос стоит достаточно остро. Расскажите, что поэтому поводу думают в IT-сообществе в Кирове и за его пределами?

   - На прошедшей конференции по защите персональных данных очень глубоко раскрыл тему наш гость Алексей Лукацкий - член совета по информационной безопасности Центрального Банка РФ, один из разработчиков поправок к закону «О защите персональных данных». Его позиция — это позиция с точки зрения бизнеса. Бизнесу, конечно, легче жить от нового закона не стало. Защита ПДн - прежде всего юридическая задача. Но почему-то так сложилось, что ее решение у нас возложено на ИТ-руководителей. Как говорят сециалисты, закон достаточно сырой. К тому же до конца 2010 года в него должны внестись существенные поправки, отменяющие или в корне меняющие некоторые требования. Но ведь многие организации уже разработали план действий и начали вкладывать средства в реализацию защиты ПДн. И времени на приведение в соответствие практически не осталось. Практики по проверкам по требованиям 152-ФЗ еще не сложилось. В общем, пока полная путаница и неразбериха. Например, заставили школы, институты и т.п. проходить аттестацию, лицензирование и другие прелести , а через 2.5 месяца, после внесения поправок в закон— отказ от этого по причине изменения требований ФСТЭК . Все операторы ПДн обязаны получать лицензию на деятельность по технической защите конфиденциальной информации. Но многие структуры и так уже были обязаны охранять ПДн. Например, вы доверитесь банку, который не охраняет ваши персональные данные? Оператор не должен спрашивать специального разрешения на то, что и так уже вменено ему в обязанность. 
   В ходе конференции прозвучало общее мнение ИТ-сообщества: во главу угла, в очередной раз, поставлена защита самого Закона, т.е. защита ПДн без защиты прав самого субъекта.
 

- Как предприятия должны защищать персональные данные?  

   Как рекомендует руководитель отдела ИТ ГК «Система «Глобус» Сметанин Александр, на предприятии необходимо создать комиссию в составе юриста, бухгалтерии, отдела кадров, ИТ сотрудника, сотрудника по информационной безопасности, сотрудника отдела лояльности и др.(на каждом предприятии он может оказаться свой). Эта комиссия проводит аудит информационной системы, проводит анализ, ведет работу по разработке регламентов, инструкций, приказов, мероприятий по сохранению ПДн, а затем запускает к внедрению. 
    Техническую часть реализации ИСПДн в Кировской области проверяет ФСТЭК России по Приволжскому федеральному округу. Территориально они находятся в г.Нижний Новгород. А штат у них ограниченный, так что физически сотрудники ФСТЭК смогут проверить в Кировской области 2-3 предприятия в год. А вот Роскомнадзор, сотрудники которого как раз проверяют организационную часть, смогут больше организаций проверить у нас в области, так как управление у нас в Кирове имеется. График плановых проверок на 2011 год должен быть размещен в ноябре как на сайте Роскомнадзора, так и на сайте Генпрокуратуры. Т.е. к 1 декабря мы сможем посмотреть кто в списках на проверки. И, наверное, можно будет вздохнуть облегченно, если кого-то не будет в списках. НО …. нельзя забывать про внеплановые проверки, которые могут быть проведены по заявлению субъекта ПДн. Также проверки по соблюдению ФЗ-152 могут проводить ФСБ. Их область проверки - это шифрование данных при передаче ПДн за пределы контролируемой зоны предприятия, правильное применение и хранение ЭЦП, раздача прав в ИСПДн.
    Мое мнение: главное, не бояться начать работу по реализации положений закона, так как первый этап, я уверен, может реализовать каждая компания. И клуб ИТ директоров Кировской области готов оказать всем членам клуба информационную помощь.
 

 - То есть любое предприятие, даже небольшое, будет платить огромные деньги?

    Сказать конкретно про денежные ресурсы, которые необходимы для реализации построения информационной системы персональных данных (ИСПДн) согласно ФЗ-152 невозможно. Так как для малой и средней компании это будет сумма, к примеру, от 60 тыс.рублей, а для крупных до миллиона рублей и более. 
   Многих руководителей компаний пугают цифры, когда информационно-техническая служба или отдел информационной безопасности их озвучивают. На самом деле бОльшая часть от этой суммы составляет техническая реализации ИСПДн, но до её реализации нужно дойти. А работу, связанную с решением организационной части плана по реализации защиты ИСПДн, можно и нужно решать внутренними силами предприятия. Вот именно с решения оргвопросов и нужно начинать, это первый этап по реализации статей закона.
   Очень много полезных сведений о том, как, следуя букве закона, снизить затратную часть, рассказывал в своем докладе Алексей Лукацкий . Ну, например, как понизить класс конфиденциальности ПДн, как обратимо обезличить персональные данные, в каких случаях можно законно отказать требованиям ФСБ в шифровании персданных, на какие виды деятельности обязательно получать лицензии и сертификаты ФСТЭК и ФСБ, а на какие нет.
 

 - Например?

   Например, Комитет Государственной Думы по собственности дал по просьбе Комитета по безопасности разъяснения о сфере действия Федерального закона «О лицензировании отдельных видов деятельности» Согласно этому разъяснению лицензию на деятельность по технической защите конфиденциальной информации обязаны получать только организации, оказывающие соответствующие услуги в рамках предпринимательской деятельности, то есть на платной основе Деятельность организаций по технической защите конфиденциальной информации исключительно для собственных нужд лицензированию не подлежит. 
   Или, к Вам в почтовый ящик приходят квитанции по коммунальным платежам и за телефон с Вашими ФИО, адресом и т.д.? Вот. Уже прямое нарушение требований 152-ФЗ. Как быть? Один из вариантов - обезличить персданные, например, заменой ФИО лицевым счетом. 
 

- Так кто же на предприятии должен заниматься защитой данных: IT-директор, юрист или еще кто-то?

   Вообще, специалисты на конференции шутили: «нанимайте в штат юриста по защите персональных данных». После докладов на конференции и погружения в тему для многих шутка перестала быть шуткой.
 

 - Должен ли IT-директор решать бизнес-задачи?

   Наша позиция, как Клуба ИТ-директоров, не отличается от позиции во всем мире: IT-директор — это топ-менеджер организации, такой же как финансовый директор, директор по маркетингу, коммерческий директор… В его компетенции – решение стратегических задач по управлению и развитию ИТ-инфраструктуры предприятия. ИТ-инфраструктура, как известно – это нервная система любого совтременного предприятия.
 

- Зачем в принципе создавался ваш клуб? 

   Руководители отделов ИТ решают, в сущности, одни и те же задачи, сталкиваются с одними и теми же проблемами. Но каждый решает их в одиночку. Миссия клуба — увеличить эффективность использования ИТ при уменьшении стоимости владения. Наша задача - это объединение ИТ профессионалов, создание неформальной площадки для общения и обмена опытом по актуальным проблемам использования и внедрения ИТ, формирование экспертных советов по тем или иным направлениям ИТ.
 

- Какие еще есть насущные проблемы в IT-сфере?

   Руководитель предприятия ставит перед IT-директором задачу. Ее можно решить разными путями, и, зачастую выбор делается на основании интуиции и перовначальной стоимости системы. Грамотная защита своих проектов IT-директором руководству предприятия — очень важная задача. Часто бывает так, что стоимость владения дорогой информационной системой бывает в разы меньше дешевой, а адаптируемость к меняющемуся бизнесу – выше. Но как ИТ-директору, техническому специалисту, донести ньюансы технических и экономических выгод владельцам бизнеса? Но он - человек с техническим мышлением, ему трудно бывает с уверенностью, простым «человеческим» языком сделать грамотную с точки зрения психологии и акцентов презентацию, тем более сразу нескольким топ-менеджерам. По этому поводу — грамотной продаже внутренних проектов — у нас будут проходить семинары и бизнес-тренинги. Вообще, есть над чем и с чем работать (мы постоянно делаем опросы IT-директоров).

 


Антон Земцов
Руководитель «Клуба IT-директоров Кировской области»

 

Александр Сметанин
Руководитель отдела информационных технологий группы компаний
«Система Глобус»