Сегодня Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона "О персональных данных" (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год — с 1 января 2010 г. до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.
Основная причина переноса, в пользу которого активно выступили российские банки, связана с непрозрачностью требований регуляторов и невозможностью их выполнить за отведенное время. "Сразу надо отметить, что переносится на год вступление не всего закона, а только одного из его положений — пункта о соответствии ИСПДн техническим требованиям по безопасности", — комментирует Алексей Лукацкий, менеджер по развитию бизнеса Cisco. Он напоминает, что требования ФСТЭК менялись неоднократно, а процесс их изменения и утверждения вызывал огромное количество вопросов и нареканий. Поэтому депутаты в итоге признали, что перенос сроков — это крайняя мера, но на нее необходимо пойти, чтобы дать возможность операторам персональных данных подготовиться более серьезно, а регуляторам — извлечь уроки из впопыхах выброшенных на рынок требований.
В то же время, Анатолий Аксаков, член комитета Госдумы по финансовому рынку, изначально предлагавший перенести сроки аудита ИСПДн на 2 года, называет принятые поправки "полумерой". Депутат при этом подчеркивает, что 152-ФЗ необходим, но еще нужно активно над ним поработать, чтобы закон в полной мере защищал интересы и операторов ИСПДн, и тех, кто будет приводить их системы в соответствие с законом.
"Отсрочка дает возможность в течение года внести в закон целый ряд других поправок, которые помогут устранить внутренние противоречия, — говорит депутат. — С одной стороны, закон еще нужно совершенствовать с точки зрения защиты персональных данных, а с другой стороны — убрать из него излишнюю нагрузку, которая обременяет операторов ИСПДн и при этом не помогает защищать данные". По словам Аксакова, речь идет о требованиях по использованию технических и программных средств защиты, которые в Европе, например, носят лишь рекомендательный характер. В России же их сделали обязательными, "поддавшись лоббированию со стороны отдельных компаний". Кроме того, изменения должны коснуться целого ряда других законов, где фигурируют персональные данные.
Поставщики решений также видят в принятых поправках некоторые положительные стороны для себя. "Проектные команды были поставлены в очень жесткие временные рамки, что не могло не сказываться на качестве исполнения работ и на их стоимости", — говорит Вениамин Левцов, директор департамента развития LETA IT-company. По его словам, теперь у операторов появляется достаточно времени, чтобы в спокойном режиме провести планирование оставшейся части проекта. "Компании смогут более взвешенно подойти к выбору исполнителей, подбору технических средств защиты и возможно даже скорректировать отдельные бизнес-процессы — о последнем в условиях „горящих сроков" не приходилось даже мечтать", — заключает Левцов.
Регулятор в лице Роскомнадзора также не должен быть в обиде, считают в Eset: проверки операторов будут идти в плановом порядке, просто акцент будет делаться на соблюдение норм закона, не связанных с обработкой персональных данных в информационных системах. Напомним, что сейчас в реестре Роскомнадзора содержатся данные почти о 75 тыс. операторов ИСПДн — кроме банков, в их число входят телеком-компании и организации здравоохранения.
www.cnews.ru