Михаил Башлыков: невозможно решать технические вопросы без юридических и организационных

Михаил Башлыков: невозможно решать технические вопросы без юридических и организационных

Каков опыт компании КРОК в области защиты персональных данных? Когда вы начали работать в этом направлении?

Михаил Башлыков: Вопросами защиты конфиденциальной информации и, в том числе, персональных данных, мы занимаемся несколько лет, направление информационной безопасности в компании действует уже более 7 лет.  Поэтому  с ситуацией в области защиты персональных данных знакомы достаточно хорошо. Однако лишь некоторое время назад появились требования регулирующих организаций, позволяющие перейти к практическим шагам в реализации закона. С этого момента участники рынка начали составлять планы по приведению своих информационных систем в соответствие с положениями закона и выполнению ряда задач по этой тематике.

Можно ли говорить о том, что для большинства компаний работающих с большими объемами персональных данных, проблемы, связанные со вступлением в действие закона об их защите, скорее организационные, а не технологические?

М. Б.: Это комплексная задача. В ней есть и организационные, и юридические, и технические аспекты. Другое дело, что техническая составляющая в большинстве крупных корпоративных организаций, как правило, находится на достаточно высоком уровне. Большинство средств, перечисленных в требованиях закона, уже внедрены. Нужно только построить правильную структуру, провести инвентаризацию и классификацию своих информационных систем, разработать модель угроз и определить, какие дополнительные средства необходимо внедрить и провести аттестацию (если потребуется).

Что касается юридических и организационных вопросов, тут готовность имеет гораздо меньшую степень. На них нужно обратить особое внимание, разработать соответствующие процессы, подготовить необходимые документы. Собственно говоря, без решения организационных и юридических вопросов, решать технические вопросы невозможно.  

Что бы Вы порекомендовали компаниям делать сейчас, когда до начала действия закона осталось полгода, а большинство из них заявляют, что не готовы работать по новым правилам?

М. Б.: Мы общаемся с регуляторами и видим с их стороны понимание, что не всем хватит времени, чтобы привести свои системы в полное соответствие с законом. Нужно здраво подойти к общим вопросам информационной безопасности. Провести классификацию и инвентаризацию систем обработки персональных данных, понять, где эти данные обрабатываются.

Затем - внедрить организационные меры защиты, прежде всего, четко определить порядок доступа к соответствующим информационным системам. Кто имеет доступ, к какой информации, на каких основаниях и т. п. Параллельно можно внедрять технические средства защиты этой информации, сертифицированные в соответствии с требованиями закона.

Какой Вы видите ситуацию после 1 января 2010 г.? Что изменится?

М. Б.: Я думаю, в общем, ничего не изменится. Нужно понимать, что у проверяющих органов не хватит сил, чтобы отработать сразу несколько сотен тысяч заявок. Мы поддерживаем связь с представителями Роскомнадзора, на который возложена функция проверок на соответствие предприятий требованиям закона о защите персональных данных. Их точка зрения такова, что если в компании не будет явных утечек информации и информационная безопасность обеспечивается на достаточно высоком уровне, больших проблем для такого предприятия возникнуть не должно. У Роскомнадзора есть план проверок на предстоящий период, который должен быть опубликован на сайте ведомства. Заинтересованные компании могут посмотреть, находятся ли они в этом списке и соответствующим образом подготовиться.

В любом случае компаниям нужно выстроить организационные процессы и здраво подходить к вопросу обеспечения информационной безопасности. Мы рекомендуем не откладывать решение этих вопросов. Ведь, согласно требованиям закона, ряд технических средств, обрабатывающих персональные данные, должен быть сертифицирован в аккредитованных организациях, и скорее всего, в конце года в этих сертификационных лабораториях возникнут огромные очереди из желающих получить сертификаты. Могут возникнуть сложности.

В целом я хочу сказать, что проблема, безусловно, есть. Однако не стоит ее преувеличивать. Если предпринимать соответствующие шаги, выполнять определенные требования, то ничего страшного не случится. Если говорить не о том, почему этого сделать нельзя, а как это сделать можно, все вопросы будут решены.

Конференция "Персональные данные" состоится 1 октября 2009 г. в гостинице "Рэдиссон САС Славянская" по адресу: Москва, Бережковская наб., 2. (http://www.pro-id.ru/conference/adres)

Организаторами конференции "Персональные данные" выступают компания "Гротек" и МОО "Ассоциация защиты информации"

Соорганизаторы конференции:

Компания КРОК (www.croc.ru)

Компания "ИнфоТехноПроект" (www.itp-lc.ru)

Комитет по вопросам информационной безопасности

Ассоциации Предприятий Компьютерных и Информационных Технологий - АП КИТ (www.apkit.ru).

Партнеры:

Leta IT Company (www.leta.ru)

ОКБ "САПР" (www.accord.ru )

Все вопросы по конференции Вы можете задать Ирине Суриной (surina@groteck.ru)

Тел.: (495) 609 32 31 (доб.2100) 

www.ITSec.Ru по материалам компании "КРОК"