В декабре 2010 года законопроект «О внесении изменений в статью 25 Федерального закона "О персональных данных" (в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие требованиям Федерального закона "О
В декабре 2010 года законопроект «О внесении изменений в статью 25 Федерального закона "О персональных данных" (в части продления срока приведения ранее созданных информационных систем персональных данных в соответствие требованиям Федерального закона "О персональных данных")» был принят Госдумой в первом чтении. После доклада депутата Анатолия Аксакова и содоклада председателя комитета по конституционному законодательству и государственному строительству Владимира Плигина 445 депутатов из 450 проголосовали за внесение изменений. Аксаков мотивировал необходимость очередной годичной отсрочки ввода в действие закона «О персональных данных» тем, что организации, особенно бюджетные, не готовы исполнять закон и что в нынешнем виде он «является почвой для коррупции». Прокомментировать причины и последствия этого решения для банковской отрасли мы попросили Андрея Курило, заместителя начальника управления главного управления безопасности и защиты информации ЦБ РФ.
На ваш взгляд, в чем причина очередного переноса сроков вступления в полную силу закона № 152-ФЗ? И как он отразится на операторах персональных данных, в частности в банковской отрасли?
Не могу судить, в чем причина переноса сроков на сей раз, для ЦБ эта новость была такой же неожиданной, как и для всех. Надо признать, что в большинстве своем российские банки не были подготовлены в полной мере к вступлению закона № 152-ФЗ в полную силу. Для этого нужно было осуществить большой комплекс организационно-технических мероприятий, выделить средства на привлечение техники и провести обследование. Я неоднократно говорил о том, что это занимает гораздо больше времени, чем один год. В конце прошлого года наше предложение о переносе сроков на два года было высказано в устной форме — видимо, поэтому к нему не прислушались.
Не исключаю, что на переносе отразились последствия экономического кризиса: операторам персональных данных в этих условиях крайне затруднительно выполнить стоящие перед ними требования закона № 152-ФЗ. В России около тысячи банков. Все они без ИТ работать не могут, но при этом у всех свои проблемы. Например, у маленьких банков нет возможности и людей, чтобы обеспечить информационную безопасность на
высоком техническом уровне, а у крупных банков эти системы настолько большие, что сразу и не справишься, им крайне сложно проводить аудит. Эти и прочие проблемы по-своему растягивают время реализации требований закона № 152-ФЗ.
Я, пожалуй, соглашусь, что подобные неожиданные для всех решения о переносе сроков вступления федерального закона в полную силу ничего хорошего не принесут. Чем яснее и прозрачнее правила и чем меньше они меняются, тем лучше для всех. Но если законодатель дает передышку, то это надо использовать во благо, а не превращать проблему в трагедию. То, что законодатель гибко реагирует и убирает некие одиозные положения в законопроекте, который сейчас проходит чтения, это хорошо, потому что происходит настройка законодательства. Это конструктивный диалог. Подходить с мерками уголовного законодательства к закону о персональных данных нельзя, это закон другого типа.
Мы уже сталкивались с примерами, когда те, кто первыми принялись приводить свои инфраструктурыв соответствие требованиям закона, наломали дров, теперь им придется каждый раз проходить сертификацию при малейших изменениях ИТ-инфраструктуры. В результате сложилась ситуация, когда «отличники» с завистью смотрят на «отстающих», которые так ничего и не сделали. На ваш взгляд, что за предстоящий год надо успеть сделать, а что не надо?
Основные требования, которые существуют в европейском законодательстве, несмотря ни на что будут присутствовать в российском законе. Чтобы реализовать эти требования, необходимо выстроить процессы
и обеспечить их выполнение, то есть сперва осознать проблему на своем уровне, потом правильно ее классифицировать, оценить ситуацию внутри банка и только после этого разработать комплекс необходимых мероприятий. Если в новой редакции закона какие-то мероприятия окажутся излишними, то просто снизятся требования к реализации. Приводить системы в соответствие требованиям закона № 152-ФЗ все равно придется, так как защита персональных данных становится элементом корпоративной и банковской культуры.