Вопросом, как быть в условиях ограниченных сроков и бюджетов, определялось основное содержание конференции «Защита персональных данных на предприятии: от законодательных актов — к практическим шагам», проведенной агентством корпоративных коммуникаций OSP-Con и еженедельником Computerworld Россия 24 сентября. Маловероятно, что сроки исполнения закона «О персональных данных» будут перенесены, однако Алексей Катрич, директор по ИТ национального банка «Траст», предположил, что в осенних парламентских слушаниях будет возможность «как-то ослабить» этот закон через воздействие отраслевых ассоциаций. Он назвал поликлиники и загсы «единственной надеждой» и «спасательным кругом» финансового блока. Подобные бюджетные учреждения хранят данные, которые нужно защищать по высшему классу, а финансируются, как правило, недостаточно. Между тем известно, что Минздравсоцразвития РФ объявило конкурс на разработку методических указаний для лечебно-профилактических учреждений. «Результаты проекта мы надеемся согласовать с проверяющими органами», — заявил Олег Симаков, директор Департамента информатизации Минздравсоцразвития РФ на конференции «InterSystems Симпозиум 2009». Со своей стороны Катрич не подвергает сомнению целесообразность закона, признавая недопустимым факт, что через Internet легко найти личные адреса и телефоны граждан.
Серьезную проблему для банков представляет обеспечение соответствия законодательным требованиям специализированных банковских программ для ЭВМ, в особенности тех, которые разрабатываются самостоятельно. Катрич считает, что многие банки будут вынуждены прекратить использование программных продуктов, разработанных собственными силами. Впрочем, даже не все производители банковского ПО согласились модифицировать свои продукты с учетом требований закона. Среднюю сумму, необходимую банку для приведения информационных систем в надлежащее состояние, Катрич оценил в 10 млн руб.
Что касается стратегии, избираемой организациями в ожидании вступления закона в силу, то Денис Муравьев, генеральный директор «Бюро профессиональных услуг 4x4», считает, что малые компании, чья главная задача в текущих экономических условиях — выживание, станут относиться к несоответствию закону всего лишь как к одному из многочисленных рисков, а поскольку организаций много и штат проверяющих невелик, могут рассчитывать, что к ним не придут с проверкой. Средние компании, по его мнению, ограничатся разработкой внутренней нормативной документации. Маловероятно, что они начнут полномасштабные проекты по внедрению средств управления идентификацией, предотвращения потери данных и т. п., из-за высокой стоимости — 300-500 тыс. долл., что, по оценкам Муравьева, равняется примерно четверти годовой прибыли средней компании. Выходом для них Муравьев считает аутсорсинг (уже есть организации, предлагающие услуги по хранению и обработке персональных данных) либо вынос персональных данных за границу, желательно в страну, которая ратифицировала конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных ETS № 108. Один из гостей конференции сообщил, что представители регулирующих органов предупреждали: трансграничная передача информации, например о 100 тыс. лиц призывного возраста, может угрожать обороноспособности страны. Муравьев заявил, что прецедентов мотивированных подобным образом запретов нет и что ему известно по меньшей четыре организации федерального уровня, которые имеют информационные системы персональных данных за границей.
Конкретные шаги для каждой организации Катрич сформулировал следующим образом: во-первых, должна быть создана рабочая группа и все сотрудники, кто имеет отношение к обеспечению исполнения закона, приказом должны быть назначены ответственными за результат. В группу должен войти юрист, которому должна быть предоставлена информация обо всех компонентах информационных систем персональных данных. Он должен будет оценить риски организации и выдать рекомендации, его задачей будет встреча проверяющих и защита прав организации в суде, если потребуется. Затем предстоит определить меру участия организации в проекте, при необходимости проконсультироваться со специализированными фирмами. «Компании, которые занимаются информационной безопасностью, поддерживают постоянный контакт с регуляторами и достаточно серьезно продвинулись не только в предложении тех или иных програмных продуктов, но и собственно в консультировании», — заявил Катрич и заметил, что в этих компаниях уже возникла отраслевая специализация. Мероприятия по обеспечению соответствия определяются на основе оценки рисков невыполнения закона.
Дмитрий Яковенко, партнер департамента консалтинга Deloitte, напомнил организациям о необходимости обеспечить осуществление субъектами персональных данных своих прав: ни одна из опрошенных Deloitte организаций не закончила внедрение формализованного процесса для обработки обращений субъектов персональных данных.