Алексей Лукацкий.jpg
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Многие очень часто ссылаются на эту дату 1-го января 2010 года, с которой якобы все должны соответствовать требованиям Федерального закона «О персональных данных». Именно к этой дате приурочивают приведение своих информационных систем в соответствие с требованиями регуляторов. И именно с этой даты все ожидают проверок со стороны Роскомнадзора, Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ). И когда в прессе появляются сообщения о плановых и внеплановых проверках со стороны ФСТЭК или Роскомнадзора и направлении дел о нарушении требований закона в прокуратуру многие недоумевают - как же так, ведь 1-е января еще не наступило.

На самом деле, многие предприятия должны привести свои информационные системы в соответствие с 29 января 2007 года, когда вступил в силу ФЗ-152, а не с 1-го января 2010 года. Ведь в законе написано, что не позднее 01.01.2010 необходимо привести в соответствие ИСПДн, созданные ДО вступления федерального закона в силу. Но закон ни слова не говорит об информационных системах персональных данных, созданных ПОСЛЕ вступления федерального закона в силу. Следовательно, ИСПДн, созданные после 29 января 2007-го года, должны были быть сразу приведены в соответствие с требованиями законодательства. Но сделали это единицы из тех 7 миллионов операторов персональных данных, которых насчитали наши регуляторы.

Возникает вопрос «что значит созданы?». Ни один нормативный акт не говорит об этом, т.к. сам термин «информационная система» появляется только в федеральном законе «Об информации, информационных технологиях и защите информации», принятом в тот же день, что и закон «О персональных данных». Раньше в большинстве нормативных актов использовался термин «автоматизированная система». Была даже разработана целая серия национальных стандартов по автоматизированным системам. И вот там у нас встречается термин «создание автоматизированной системы». Согласно ГОСТ 34.003-90 "Автоматизированные системы. Термины и определения" процесс создания АС завершается приемкой в промышленную эксплуатацию, которая подтверждается соответствующим актом приемки. Иными словами дата создания информационной системы ПДн определяется датой, стоящей в этом акте.

Но давайте представим на минутку, что никаких исключений нет и все информационные системы должны быть приведены в соответствие регулятивным требованиям до 1-го января 2010 года. Реально ли это? Если не брать в расчет финансы, то каждый оператор персональных данных тратит на все мероприятия не менее года (вопрос легитимности части из этих мероприятий мы не рассматриваем):

· Регистрация оператора ПДн - 1-2 месяца

· Лицензирование деятельности по технической защите конфиденциальной информации - 3-5 месяцев

· Классификация ИСПДн - 1-3 месяца

· Разработка частной модели угроз - 4-8 месяцев

· Сертификация средств защиты информации  - 3-6 месяцев

· Аттестация ИСПДн (для систем 1-2 класса) - 2-6 месяцев.

Учитывая, что в России насчитывается не более 100 сертификационных и аттестационных лабораторий ФСТЭК, а число сотрудников регулирующих органов не велико, то при числе в 3-7 миллионов операторов ПДн, общее время приведения всех в соответствие составит... не менее 1000 лет.