Однако соблюдение требований закона "О персональных данных", а точнее, связанных с ним подзаконных актов может привести к сильному удорожанию использования информационных технологий. Так, Михаил Емельянников, заместитель коммерческого директора "Информзащиты", оценивает стоимость работ по удовлетворению техническим требованиям закона "О персональных данных" даже для небольших компаний в несколько миллионов рублей.
Собственно, способов оптимизации расходов может быть несколько. В частности, поскольку закон формулирует требования к информационным системам, обрабатывающим персональные данные, то можно отказаться от хранения указанных в законе сведений в информационной системе, а обрабатывать их в печатном виде и хранить в сейфе. Для идентификации же пользователей в информационной системе можно использовать обезличенный идентификатор, такой как регистрационный номер или ИНН. В больших информационных системах, к примеру, как у мобильных операторов, стоит отделить персональные данные от остальной информации, также связав массивы данных нейтральным идентификатором, например номером лицевого счета. Тогда можно не защищать биллинговые и другие оперативные системы, поскольку в них не будет защищаемых законом данных.
Вторым способом решения проблемы защиты персональных данных является передача их обслуживания сторонней компании, которая уже будет специализироваться на выполнении требований закона. Скорее всего, вступление в действие закона "О персональных данных" стимулирует развитие рынка аутсорсинга услуг защиты информации, а точнее, хранения и обработки персональных данных. Одним из возможных кандидатов на роль подобных аутсорсеров являются удостоверяющие центры, сеть которых создается в соответствии с законом ''Об ЭЦП".
Еще одним из возможных последствий введения в действие существующего закона "О персональных данных" является удешевление средств защиты и интеграция их в CRM-, ERP-, биллинговые и другие системы. Это может повлиять и на расстановку сил в индустрии программного обеспечения.
А возможно, что ничего этого не произойдет по крайней мере до 1 января 2010 года, пока требования не станут обязательными. "Требования закона настолько тяжело реализовать, - полагает Емельянников, - что без репрессивных мер никто ничего делать не будет."
Следует отметить, что закон "О персональных данных" может привести в том числе и к увеличению анонимности. В частности, в законе есть норма, позволяющая в случае желания их владельца изъять персональные данные из любой системы. Иными словами, владелец мобильного номера вправе будет потребовать изъятия своего имени и паспортных данных из информационной системы оператора. Однако подобная анонимность может привести к серьезным проблемам в обществе. "Анонимностью пользуется преступник в темном переулке, - отметил Борис Мирошников, начальник Бюро специальных технических мероприятий МВД России. - Сейчас Internet уже превратился в такой темный переулок. Именно злоумышленники больше всего заинтересованы в сокрытии своих персональных данных." Тем не менее МВД как ведомство охраны правопорядка будет следить за соблюдением в том числе и закона "О персональных данных". В частности, Мирошников заявил: "Персональные данные мы будем защищать, а с анонимностью - бороться".
Впрочем, кроме персональных данных, которые бизнесу придется защищать, есть еще и другие типы тайн, - они позволяют компаниям ограничивать доступ к ценной информации, в частности, и со стороны самого государства. Если на предприятии есть коммерческая тайна, конфиденциальная информация или другие секреты, то даже в случае законных требований предоставления информации компания может и должна контролировать процесс предоставления сведений государственным чиновникам.
Надо защищать информацию и от от разглашения консультантами, другими экспертами, которым эти данные переданы для анализа, аудита или других целей. Пока соответствующих законов нет, поэтому предприятиям приходится заключать соглашения о неразглашении полученных в процессе работы сведений.
.png)