В рамках рубрики Клуб специалистов мы продолжаем публикацию книги А.В.Лукацкого заблуждения и Мифы информационной безопасности
Алексей Лукацкий — менеджер по формированию
бизнеса Cisco Systems
Многие частенько ссылаются на эту дату 1-го января 2010 года, с которой якобы все должны соответствовать требованиям закона «О персональных данных». Как раз к данной дате приурочивают приведение собственных информационных совокупностей в соответствие с требованиями регуляторов.
И как раз с данной даты все ожидают испытаний со стороны Роскомнадзора, Федслужбы по техническому и экспортному контролю (ФСТЭК) и Федслужбы безопасности (ФСБ). И в то время, когда в прессе появляются сообщения о плановых и внеплановых испытаниях со стороны ФСТЭК либо Роскомнадзора и направлении дел о нарушении требований закона в прокуратуру многие недоумевают — как же так, поскольку 1-е января еще не наступило.
В действительности, многие предприятия должны привести собственные информационные совокупности в соответствие с 29 января 2007 года, в то время, когда получил юридическую силу ФЗ-152, а не с 1-го января 2010 года. Так как в законе написано, что не позднее 01.01.2010 нужно привести в соответствие ИСПДн, созданные ДО вступления закона в силу.
Но закон ни слова не говорит об информационных совокупностях персональных данных, созданных По окончании вступления закона в силу. Следовательно, ИСПДн, созданные по окончании 29 января 2007-го года, должны были быть сходу приведены в соответствие с требованиями законодательства.
Но сделали это единицы из тех 7 миллионов операторов персональных данных, которых насчитали отечественные регуляторы.
Появляется вопрос «что означает созданы?». Ни один нормативный акт не говорит об этом, т.к. сам термин «информационная совокупность» появляется лишь в законе «Об информации, защите информации и информационных технологиях», принятом в тот же сутки, что и закон «О персональных данных».
Раньше в большинстве нормативных актов употреблялся термин «автоматизированная совокупность». Была кроме того создана целая серия национальных стандартов по автоматизированным совокупностям.
И вот в том месте у нас видится термин «создание автоматизированной совокупности». В соответствии с ГОСТ 34.003-90 Автоматизированные совокупности. определения и Термины процесс создания АС завершается приемкой в промышленную эксплуатацию, которая подтверждается соответствующим актом приемки.
Иными словами дата создания информационной совокупности ПДн определяется датой, стоящей в этом акте.
Но давайте представим на минутку, что никаких исключений нет и все информационные совокупности должны быть приведены в соответствие регулятивным требованиям до 1-го января 2010 года. Реально ли это? Если не брать в расчет финансы, то любой оператор персональных данных тратит на все мероприятия не меньше года (вопрос легитимности части из этих мероприятий мы не разглядываем):
· Регистрация оператора ПДн — 1-2 месяца
· Лицензирование деятельности по технической защите тайной информации — 3-5 месяцев
· Классификация ИСПДн — 1-3 месяца
· Разработка личной модели угроз — 4-8 месяцев
· Сертификация средств защиты информации — 3-6 месяцев
· Аттестация ИСПДн (для совокупностей 1-2 класса) — 2-6 месяцев.
Учитывая, что в Российской Федерации насчитывается не более 100 сертификационных и аттестационных лабораторий ФСТЭК, а число сотрудников регулирующих органов не громадно, то при числе в 3-7 миллионов операторов ПДн, неспециализированное время приведения всех в соответствие составит… не меньше 1000 лет.
Как обезопасисть персональные эти — 152 ФЗ. Как готовиться к проверке
