Дмитрий Медведев утвердил внесенные в Федеральный закон «О персональных данных» изменения. Помимо разъяснения определений таких базовых понятий как «персональные данные», «оператор», «обработка персональных данных», поправки устанавливают случаи обработки персональных данных и сроки предоставления оператором информации по запросу гражданина. Организации, оперирующие персональными данными, теперь обязаны будут принять дополнительные меры защиты информации. Компаниям придется обновить программные продукты и привести информационные системы в соответствие с требованиями закона. Организации впредь должны будут регистрировать все совершаемые в них действия и установить правила доступа к персональным данным. Кроме того, средства защиты информации, используемые операторами, должны пройти процедуру оценки соответствия уполномоченными структурами — ФСБ и ФСТЭК, контролирующих выполнение новых требований. Отныне компании должны будут обнаруживать факты несанкционированного доступа к данным и принимать соответствующие меры, а граждане могут требовать возмещения морального вреда и убытков в случае их утечки.
Президент поручил правительству издать подзаконных акты, определяющие уровни защищенности данных в зависимости от угроз безопасности и требования к материальным носителям биометрических данных и технологиям их хранения вне систем.
Ранее о нежелательности принятия поправок в нынешнем виде в закон «О персональных данных» Президенту РФ к в открытом письме заявляли эксперты российской отрасли информационных технологий. ИТ-общественность высказалась против последних поправок, рассказывает генеральный директор компании InfoWatch Наталья Касперская, поддержавшая инициативу экспертов. «Открытое письмо президенту с просьбой не подписывать закон собрало много подписей. Такая петиция, надо сказать, шаг неординарный. Недовольство среди специалистов по информационной безопасности и раньше раздавалось в ответ на законопроекты, но такую реакцию мы видим впервые», — продолжает она.
В результате внесённых поправок этот ФЗ сила и значимость его подзаконных актов повысились, считает Наталья Касперская. «Контролирующие инстанции» теперь в гораздо б?льшей степени стали «контролирующими». Проверяющие соблюдение правил — устанавливающими эти правила. Ещё больше сблизились функции нормотворчества и контроля соблюдения — в лице одних и тех же чиновников», — объясняет она.
В профессиональной среде защитников информации откровенно говорят о том, что обсуждаемые поправки были пролоббированы ведомствами, влияние которых усиливается в результате обновления закона, при этом никакого усиления защищённости персональных данных не ожидается, утверждает Наталья Касперская. «Некоторые говорят, что закон «О персональных данных» был морально устаревшим уже на момент его принятия в 2006 году. О моральном устаревании можно говорить, если бы предписанные меры защиты когда-то были эффективны, а ныне уже не дают эффекта. Но они не были эффективны и тогда. Проведение сертификаций и аттестаций технических средств защиты, получение лицензий, написание вороха бумаг — всё это никогда особенно не коррелировало с защищённостью, с вероятностью утечек информации», — считает она. Однако ответственность же операторов данных за произошедшие утечки как отсутствовала, так и отсутствует, подчеркивает Наталья Касперская.
Насколько именно возрастут расходы операторов персональных данных, можно будет сказать, когда выйдут (или будут пересмотрены) подзаконные акты, предусмотренные новой версией закона, предполагает глава InfoWatch. «В том-то и особенность, что ФЗ-152 отдаёт слишком много возможностей на усмотрение органов исполнительной власти. Не закон, а издаваемые ведомствами приказы определяют, насколько затратными будут меры «защиты», которую вынужден оплачивать каждый оператор. Как показывает опыт, ведомства не скупятся на чужие траты. И на количество необходимых бумаг с печатями, которые эти же ведомства и выдают», — подчеркивает она.
Новые регулирующие требования могут вообще не сказаться на деятельности компаний. Как показал предыдущий опыт исполнения обсуждаемого закона, совместить с ними существующие у операторов системы информационной безопасности не сложно, убеждена Наталья Касперская. «Все требования — бумажные. Работы по «приведению в соответствие» информационных систем не затрагивали самих этих систем, но ограничивались приведением в соответствие документации», — констатирует она.
По словам начальник отдела консалтинга компании «Информзащита» Ивана Мелехина, ситуация с принятием закона в текущем виде полностью характеризуется известной цитатой «хотели как лучше, а получилось как всегда». «Такое ощущение, что параллельно готовились две редакции закона, двумя разными группами, преследующими свои, диаметрально противоположные, интересы, а победила дружба — в закон включили всё. Причем как всегда, от такой победы страдают и граждане и операторы. Поскольку данные первых как утекали, так и утекают, а вторым придется строить потемкинские деревни из сертифицированных средств защиты», считает Иван Мелехин. В его понимании, положение усугубляется тем, что закон предполагает принятие большого количества подзаконных актов, которые как обычно будут приниматься годами, а в ситуации нормативной неопределенности регуляторы будут трактовать положения закона как им удобно.
… [Trackback]
[…] Information to that Topic: portaltele.com.ua/news/officially/2011-07-28-03-21-35.html […]
… [Trackback]
[…] Read More here to that Topic: portaltele.com.ua/news/officially/2011-07-28-03-21-35.html […]