Вопросом, как быть в условиях ограниченных сроков и бюджетов, определялось основное содержание конференции "Защита персональных данных на предприятии: от законодательных актов — к практическим шагам", проведенной агентством корпоративных коммуникаций OSP-Con и еженедельником Computerworld Россия 24 сентября (см. также "Права или данные?", Computerworld Online, 5 октября 2009 года). Маловероятно, что правительство перенесет сроки исполнения закона "О персональных данных", однако Алексей Катрич, директор по ИТ национального банка "Траст", предположил, что в осенних парламентских слушаниях будет возможность "как-то ослабить" этот закон через воздействие отраслевых ассоциаций. Он назвал поликлиники и загсы "единственной надеждой" и "спасательным кругом" финансового блока. Подобные бюджетные учреждения хранят данные, которые нужно защищать по высшему классу, а финансируются, как правило, недостаточно. Между тем известно, что Минздравсоцразвития РФ объявило конкурс на разработку методических указаний для лечебно-профилактических учреждений. По словам Олега Симакова, директора Департамента информатизации Минздравсоцразвития РФ, эти документы призваны "уменьшить уровень нарушений в рамках 152-ФЗ". "Результаты проекта мы надеемся согласовать с проверяющими органами", — сказал Симаков на конференции "InterSystems Симпозиум 2009". В то же время Катрич не подвергает сомнению целесообразность закона, признавая недопустимым факт, что через Internet легко найти личные адреса и телефоны граждан. "С этим надо бороться", — заявил он.
Серьезную проблему для банков представляет обеспечение соответствия законодательным требованиям специализированных банковских программ для ЭВМ, в особенности тех, которые разрабатываются самостоятельно. Катрич считает, что многие банки будут вынуждены прекратить использование программных продуктов, разработанных собственными силами. Впрочем, даже не все производители банковского ПО согласились модифицировать свои продукты с учетом требований закона. Среднюю сумму, необходимую банку для приведения информационных систем в надлежащее состояние, Катрич оценил в 10 млн руб.
Что касается стратегии, избираемой организациями в ожидании вступления закона в силу, то Денис Муравьев, генеральный директор "Бюро профессиональных услуг 4x4", считает, что малые компании, чья главная задача в текущих экономических условиях — выживание, станут относиться к несоответствию закону всего лишь как к одному из многочисленных рисков, а поскольку организаций много и штат проверяющих невелик, могут рассчитывать, что к ним не придут с проверкой. Средние компании, по его мнению, ограничатся разработкой внутренней нормативной документации. Маловероятно, что они начнут полномасштабные проекты по внедрению средств управления идентификацией, предотвращения потери данных и т. п., из-за высокой стоимости — 300-500 тыс. долл., что, по оценкам Муравьева, равняется примерно четверти годовой прибыли средней компании. Выходом для них Муравьев считает аутсорсинг (уже есть организации, предлагающие услуги по хранению и обработке персональных данных) либо вынос персональных данных за границу, желательно в страну, которая ратифицировала конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных ETS № 108. Евгений Тихонов, директор по производству компании One Agile Interactive, сооббщил, что представители регулирующих органов предупреждали: трансграничная передача информации, например о 100 тыс. лиц призывного возраста, может угрожать обороноспособности страны. Муравьев заявил, что прецедентов мотивированных подобным образом запретов нет и что ему известно по меньшей четыре организации федерального уровня, которые имеют информационные системы персональных данных за границей.
Конкретные шаги для каждой организации Катрич сформулировал следующим образом: во-первых, должна быть создана рабочая группа и все сотрудники, кто имеет отношение к обеспечению исполнения закона, приказом должны быть назначены ответственными за результат. В группу должен войти юрист, которому должна быть предоставлена информация обо всех компонентах информационных систем персональных данных. Он должен будет оценить риски организации и выдать рекомендации, его задачей будет встреча проверяющих и защита прав организации в суде, если потребуется. Затем предстоит определить меру участия организации в проекте, при необходимости проконсультироваться со специализированными фирмами. "Компании, которые занимаются информационной безопасностью, поддерживают постоянный контакт с регуляторами и достаточно серьезно продвинулись не только в предложении тех или иных програмных продуктов, но и собственно в консультировании", — заявил Катрич и заметил, что в этих компаниях уже возникла отраслевая специализация. Мероприятия по обеспечению соответствия определяются на основе оценки рисков невыполнения закона.
Дмитрий Яковенко, партнер департамента консалтинга Deloitte, напомнил организациям о необходимости обеспечить осуществление субъектами персональных данных своих прав: ни одна из опрошенных Deloitte организаций не закончила внедрение формализованного процесса для обработки обращений субъектов персональных данных.