Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год - с 1 января 2010 г. до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.
Основная причина переноса, в пользу которого активно выступили российские банки, связана с непрозрачностью требований регуляторов и невозможностью их выполнить за отведенное время. «Сразу надо отметить, что переносится на год вступление не всего закона, а только одного из его положений - пункта о соответствии ИСПДн техническим требованиям по безопасности», - комментирует Алексей Лукацкий, менеджер по развитию бизнеса Cisco. Он напоминает, что требования ФСТЭК менялись неоднократно, а процесс их изменения и утверждения вызывал огромное количество вопросов и нареканий. Поэтому депутаты в итоге признали, что перенос сроков - это крайняя мера, но на нее необходимо пойти, чтобы дать возможность операторам персональных данных подготовиться более серьезно, а регуляторам - извлечь уроки из впопыхах выброшенных на рынок требований.
В то же время, Анатолий Аксаков, член комитета Госдумы по финансовому рынку, изначально предлагавший перенести сроки аудита ИСПДн на 2 года, называет принятые поправки «полумерой». Депутат при этом подчеркивает, что 152-ФЗ необходим, но еще нужно активно над ним поработать, чтобы закон в полной мере защищал интересы и операторов ИСПДн, и тех, кто будет приводить их системы в соответствие с законом.
«Отсрочка дает возможность в течение года внести в закон целый ряд других поправок, которые помогут устранить внутренние противоречия, - говорит депутат. - С одной стороны, закон еще нужно совершенствовать с точки зрения защиты персональных данных, а с другой стороны - убрать из него излишнюю нагрузку, которая обременяет операторов ИСПДн и при этом не помогает защищать данные». По словам Аксакова, речь идет о требованиях по использованию технических и программных средств защиты, которые в Европе, например, носят лишь рекомендательный характер. В России же их сделали обязательными, «поддавшись лоббированию со стороны отдельных компаний». Кроме того, изменения должны коснуться целого ряда других законов, где фигурируют персональные данные.
Поставщики решений также видят в принятых поправках некоторые положительные стороны для себя. «Проектные команды были поставлены в очень жесткие временные рамки, что не могло не сказываться на качестве исполнения работ и на их стоимости», - говорит Вениамин Левцов, директор департамента развития LETA IT-company. По его словам, теперь у операторов появляется достаточно времени, чтобы в спокойном режиме провести планирование оставшейся части проекта. «Компании смогут более взвешенно подойти к выбору исполнителей, подбору технических средств защиты и возможно даже скорректировать отдельные бизнес-процессы - о последнем в условиях „горящих сроков" не приходилось даже мечтать», - заключает Левцов.
Регулятор в лице Роскомнадзора также не должен быть в обиде, считают в LETA: проверки операторов будут идти в плановом порядке, просто акцент будет делаться на соблюдение норм закона, не связанных с обработкой персональных данных в информационных системах. Напомним, что сейчас в реестре Роскомнадзора содержатся данные почти о 75 тыс. операторов ИСПДн - кроме банков, в их число входят телеком-компании и организации здравоохранения.
Источник статьи: SiliconTaiga