Федеральный закон РФ № 152-ФЗ «О персональных данных» вступил в силу в январе 2007 года. Однако большинство организаций — операторов персональных данных не инициировали вовремя проекты по приведению информационных систем персональных данных в соответствие с требованиями закона. На конференции «Защита персональных данных на предприятии: от законодательных актов — к практическим шагам», проведенной 24 сентября агентством корпоративных коммуникаций OSP-Con и еженедельником Computerworld Россия, обсуждались проблемы исполнения закона в условиях сжатых сроков (системы, созданные до дня вступления закона в силу, должны быть приведены в надлежащее состояние к 1 января 2010 года).
Денис Муравьев, генеральный директор «Бюро профессиональных услуг 4x4», констатировал, что в целом закон не выполняется. Свидетельством тому служат по-прежнему продающиеся диски с базами данных (операторов связи, например), с подписками на обновления. Он предположил, что несоблюдение закона во многом обусловлено его неконкретностью, и отметил, что операторы персональных данных в основном ориентируются на отечественное законодательство, забывая о ратифицированной Россией конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных ETS № 108. Между тем положения конвенции как международного договора имеют преимущественную силу над положениями федерального закона, что явно оговорено в п. 4 ст. 4 закона 152-ФЗ. Муравьев заявил, что в нашей стране налицо перекос в сторону защиты прав субъектов персональных данных; на его взгляд, логичнее, чтобы контрольный и надзорный орган — Роскомнадзор — был уполномочен защищать сами персональные данные, а не права субъектов персональных данных, что ставит оператора в невыгодное положение. Надо отметить, что цель упомянутой конвенции — обеспечить уважение именно прав и основных свобод человека, и в особенности его права на неприкосновенность личной сферы.
Дмитрий Яковенко, партнер департамента консалтинга Deloitte, представил некоторые выводы исследования по оценке готовности к выполнению требований федерального закона «О персональных данных», завершенного компанией в августе нынешнего года (опубликовано на сайте Deloitte). Из компаний, которые заняты в отраслях, связанных с обработкой значительного количества персональных данных, менее половины уверены, что существующие средства информационной безопасности позволяют надежно защитить персональные данные. 85% опрошенных считают, что закон в нынешней редакции содержит недостаточно детализированные требования и необходимы дополнительные разъяснительные документы и отраслевые стандарты; 43% респондентов отметили несогласованность и противоречия между требованиями 152-ФЗ и других законов, отраслевого законодательства и стандартов, а также прочих регламентирующих документов; указано также, что часть нормативно-методических документов ФСТЭК и ФСБ, устанавливающих методы и способы защиты информации в информационных системах, не опубликованы. Большинство организаций не располагают необходимым количеством специалистов для подготовки к выполнению требований закона, а организации, использующие более пяти информационных систем персональных данных, оценивают размер инвестиций для выполнения требования закона не менее чем в 10 млн руб. Недостаточное количество специалистов, а также существенные финансовые и временные затраты — вот факторы, которые, согласно выводам Deloitte, делают маловероятной готовность большинства организаций к выполнению требований закона в срок.
С другой стороны, несовершенство нормативной правовой базы в некоторой степени облегчает выполнение закона. В частности, обязанность классификации информационной системы возложена на оператора (см., например, «Защита персональных данных в информационных системах», «Журнал сетевых решений LAN», 2008, № 12). Оператор может классифицировать свою систему как специальную, что позволяет ему сформировать собственную модель угроз, признав часть угроз неактуальными. По словам Муравьева, большинство организаций-клиентов классифицируют свои системы как специальные, чтобы сэкономить на дальнейших мероприятиях по защите персональных данных, а для того, чтобы заставить оператора пересмотреть класс системы, законодательного механизма не существует. Однако, как он сообщил, имеются случаи выявления регулятором ошибочной классификации.
В докладах представителей компаний Sun Microsystems, McAfee, Symantec, Stonesoft были представлены методологии, программные и технические средства, позволяющие создавать защищенные информационные системы персональных данных. На конференции обсуждались также практические меры по обеспечению соответствия законодательным требованиям для организаций с разными возможностями, в том числе такие, как аутсорсинг и вывод информационных систем персональных данных за границу.