В прошлом году называлась цифра в 1 млн компаний, нынешней весной — уже 5 млн, а на конференции Softline «Построение системы защиты персональных данных компании в соответствии с требованиями законодательства РФ», которая прошла 23 сентября, Юрий Коваленко, доцент Московского института новых информационных технологий ФСБ России, оценил их количество уже в 7,5 млн.
Для того чтобы получить статус оператора персональных данных, организация должна зарегистрироваться в соответствующем реестре Роскомнадзора, получить согласие субъектов на обработку их персональных данных, обеспечить их защиту и пройти проверку у этого ведомства. Регистрация выполняется посредством заполнения формы уведомления, которую можно загрузить с сайта Роскомнадзора. Согласие придется собирать у субъектов, которым предстоит поставить свои подписи под специальным документом, где должны быть указаны цели обработки и назначение всей системы. На подавляющем большинстве предприятий малого и среднего бизнеса персональные данные хранятся в двух информационных системах — в отделе кадров и бухгалтерии, и данные эти касаются собственных сотрудников. Иными словами, получить согласие на обработку персональных данных потребуется прежде всего у сотрудников предприятия; сделать это достаточно просто: надо лишь внести соответствующий пункт в трудовой договор.
Наиболее трудная задача — собственно обеспечение защиты персональных данных, поскольку для этого, видимо, придется покупать специальные ИТ-решения. Однако если ограничиться рассмотрением только кадровых и бухгалтерских систем, то данные, которые там хранятся, скорее всего, можно будет отнести к третьему классу, для защиты которого не требуется использования сертифицированных средств и прохождения процедуры аттестации. В этом случае представители Роскомнадзора будут проверять только наличие средств защиты, предписанных требованиями ФСТЭК, то есть системы контроля доступа, антивирусов, межсетевых экранов, систем предотвращения вторжений и сканеров защищенности. Впрочем, сама проверка того, насколько правильно построена защита, в компетенцию Роскомнадзора не входит — это будет делать ФСТЭК при выявлении нарушений.
Процедура прохождения проверки традиционно начинается с анализа документации, поэтому до 1 января 2010 года рекомендуется составить все необходимые Роскомнадзору документы: перечень обрабатываемых персональных данных, правила их обработки, должностные обязанности тех, кто отвечает за защиту данных, и другие документы. Большинство проверок заканчивается уже на этом этапе выпиской предписаний по устранению недочетов в документации.
Следует отметить, что классификацию персональных данных должен выполнять сам владелец системы, их обрабатывающей, поэтому велик соблазн занизить уровень данных. Однако Денис Лирник, эксперт компании Softline, рекомендует не делать этого.
«Стоимость доработки под более высокий класс защиты может быть сравнима со стоимостью всей системы», — отметил он. Действительно, если система защиты была построена из предположения, что данные третьего класса обрабатываются в нераспределенной системе, то допускается использование несертифицированных продуктов. Но если выяснится, что система все-таки распределенная (есть зона, не контролируемая компанией, через которую передаются персональные данные), то для нее уже потребуются сертифицированные средства защиты, причем использующие криптографию. В таком случае всю систему защиты придется строить заново.
Требования к системам обработки персональных данных первого, второго и третьего распределенного классов достаточно жестки — эти системы должны быть созданы с использованием сертифицированных средств, а сама система защиты должна пройти процедуру аттестации во ФСТЭК. К тому же на ее эксплуатацию нужно получить соответствующую лицензию. С другой стороны, ее невозможно получить без построенной системы защиты, а систему нельзя строить без лицензии. Иными словами, самостоятельно выполнить это требование компания просто не в состоянии и будет вынуждена привлекать для построения защиты лицензиата ФСТЭК. Но, как утверждается, очередь на приобретение средств защиты, имеющих лицензию, сейчас такова, что контракты заключаются со сроком поставки в 2012 году. Таким образом, процесс построения систем защиты более высоких классов уже вряд ли удастся завершить к январю.