Пресса о страховании, страховых компаниях и страховом рынке

Введение в России системы законодательной защиты персональных данных

Forbes, 20 января 2010 г.

Во сколько обойдется бизнесу закон «О персональных данных»

Банкам, страховщикам, турфирмам придется потратить на защиту информации до 10 млн рублей

1352 просмотра

Осенью 2004 года на московских радиорынках всего за $300 можно было купить базу данных о доходах москвичей и жителей Подмосковья в 1999–2002 годах. Вся информация умещалась на четырех DVD-дисках. В базе содержалось около 7 млн позиций, включавших ФИО человека, его паспортные данные, домашний адрес, ИНН и, главное, точный размер полученных доходов с указанием их источников. Журналисты быстро вычислили источник утечки — Пенсионный фонд. Само ведомство от предъявленных претензий долго открещивалось.

С тех пор государство активно взялось за предотвращение таких инцидентов. В 2006 году был принят Закон «О персональных данных», согласно которому компании, оперирующие персональными данными, должны были до 1 января 2010 года внедрить у себя специальные информационные системы по их защите. Под Новый год Госдума приняла к закону поправки, дав компаниям еще год на приведение своих систем в соответствие требованиям закона.

Кого касается закон

По данным Роскомнадзора (служба в структуре Минкомсвязи, осуществляющая надзор за соблюдением закона «О персональных данных»), около 4 млн организаций являются операторами персональных данных той или иной категории. Это страховые компании, банки, больницы, госучреждения, сотовые операторы, туристические фирмы, интернет-магазины — все, кто работает с персональной информацией клиентов. Действие закона не распространяется на обработку данных физлицами для личных или семейных нужд, на документы Архивного фонда, обработку сведений о физлицах для включения в единый государственный реестр индивидуальных предпринимателей и на обработку персональных данных, составляющих гостайну.

Интересная деталь: только 80 000 организаций на данный момент уведомили ведомство, что обрабатывают персональные данные и внесены в соответствующий реестр. «Видимо, кто-то из них считает, что, не зарегистрировавшись, может избежать контроля. Это ошибочное мнение», — сказал Forbes представитель Роскомнадзора Михаил Воробьев. Почему компании не спешат заявить о себе надзирающим органам?

«Закон — достаточно сложный документ, пока еще требующий доработки и детализации», — дипломатично описывает нововведение директор по информационным технологиям страховой компании РОСНО Сергей Пегасов. «Все сообщество очень обрадовалось переносу сроков. Нормативные документы к закону похожи на кандидатскую диссертацию 20-летней давности. Требования этого закона местами более трудноисполнимы, чем требования закона «О государственной тайне», — говорит представитель отдела информационной безопасности одного из банков.

Что требуется сделать и сколько это стоит

Прежде чем приступать к обработке персональных данных, компания должна разработать и принять порядка 20 внутренних положений и приказов, регламентирующих процесс. Далее необходимо провести аудит состояния защищенности информационных систем. После него можно строить саму систему защиты. Если вы решили не обращаться к помощи сторонних компаний-интеграторов, приготовьтесь получить лицензии в ФСБ и Федеральной службе по техническому и экспортному контролю (ФСТЭК). Эти ведомства осуществляют надзор в области криптографической и технической защиты информации.

Итог: малому и среднему бизнесу полное внедрение системы обойдется в 0,2-1 млн рублей. Для крупных компаний — банков и сотовых операторов — полная стоимость работ может доходить и до 10 млн рублей. Полный цикл исполнения проекта займет от 3 месяцев до 1 года. «Нарушен основной принцип защиты информации: средства, которые надо выделить на ее защиту, больше, чем стоимость самой информации», — сетует один из участников рынка, занявший выжидательную позицию.

Защитит ли закон персональные данные

Некоторые операторы данных, как рассказывают эксперты борющейся с информационными утечками компании InfoWatch, хитрят и переводят де-юре некоторую часть делопроизводства на бумагу: для неавтоматизированной обработки данных требования проще. А многие не делают ничего — штрафы, которые Роскомнадзор может наложить в ходе проверки, составляют не более 20 000 рублей. Лоббисты же крупных компаний обивают пороги профильных ведомств. Роскомнадзор подготовил уже более десятка поправок, говорит представитель службы Михаил Воробьев, цель которых — сделать закон более рабочим и минимизировать расходы компаний.

А пока служба ведет разъяснительную работу. В октябре 2009 года создан «Портал персональных данных», на форуме которого обсуждаются вопросы, связанные с работой с персональными данными.

Но никакие технические средства не гарантируют защиты от утечек, связанных с человеческим фактором. «Если смотреть на мировую статистику, похищаются персональные данные чаще всего (а такие инциденты исчисляются тысячами в год) именно допущенными к работе с ними сотрудниками, самостоятельно или в сговоре с внешними злоумышленниками, — говорит Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch. — А вот случаев хищения персональных данных путем снятия акустической информации с вибрирующих стекол офисов не зарегистрировано».

Александр САЗОНОВ

В материале упоминаются: Компании, организации: РОСНО 2487 [Зетта Страхование, АО 91] Персоны: Пегасов Сергей Викторович

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »