Если ваша компания уже реализовала проект по внедрению системы защиты персональных данных или планирует это сделать …
За время прохождения законом «О персональных данных» согласования возникло несколько мифов. Влияние этих мифов на общественное мнение, конечно, не столь велико, но все же некоторый сумбур в действиях компаний наблюдается.
Некоторые мифы и их опровержение
На рынке не существует нормальных средств защиты информации, которые можно внедрять в компаниях для реализации требований законодательства, потому что сертифицировать программный или аппаратный продукт очень сложно.
Это не так. Есть сертифицированные средства защиты информации, и они доступны для приобретения и внедрения. Практически все производители и поставщики позаботились о сертификации своих продуктов и провели ее.
Чтобы реализовать требования закона, даже маленькой компании придется заплатить большие деньги и купить дорогостоящие средства защиты.
Это не так. Закон предъявляет требования к системам в соответствии с их классом (К1–К4). Если в компании обрабатывается небольшой объем персональных данных, то и требований к ней предъявляется меньше, чем к крупной компании.
Чтобы реализовать требования №152-ФЗ придется отказаться от привычных средств защиты информации, купленных до вступления в силу закона за большие деньги, и приобрести другие средства защиты информации.
Это не так. Многие сертифицированные средства защиты персональных данных могут внедряться совместно с уже используемыми и не требуют отказа от ранее приобретенных программ.
Так как из закона не совсем ясно, что можно и что нельзя, легче заплатить штрафы и не заниматься приобретением и внедрением средств защиты информации.
Только при первичных проверках штрафы и взыскания за невыполнение закона не являются серьезными. При повторных выявлениях нарушений компания может понести серьезные наказания вплоть до временного приостановления лицензии на основной вид деятельности.
Внедрение средств защиты персональных данных в любом случае является очень дорогостоящей процедурой.
Специалисты в области разработки и внедрения средств защиты персональных данных не первый год предлагают законные способы снижения стоимости приведения информационных систем в соответствие с №152-ФЗ, например, сегментацию сети на этапе проектирования системы защиты ПДн.
На рынке нет экспертов, которые действительно разбираются во всех «хитросплетениях» закона «О персональных данных».
Это не так. Эксперты есть, и некоторые из них чуть ли не ежедневно делают максимально возможный личный вклад в развитие понимания рынком правил, которые диктует закон «О персональных данных». К сожалению, помимо экспертов, есть и недобросовестные, непрофессиональные организации, которые пытаются путем запугивания рынка проверками и штрафами получить свои выгоды.
Вот список рекомендуемых ресурсов, на которых о №152-ФЗ пишут профессиональные, доказавшие годами эффективной работы свою квалификацию, специалисты в области информационной безопасности:
- Блог М. Ю. Емельянникова http://emeliyannikov.blogspot.com/
- Блог Евгения Царева http://www.tsarev.biz/
- Блог Алексея Лукацкого http://lukatsky.blogspot.com/
- Блог Алексея Волкова http://anvolkov.blogspot.com/