Стремясь успеть к контрольной дате 1 января 2011 года, компании-операторы персональных данных (ПДн) осаждают производителей средств защиты информации и разработчиков технических решений с одной целью: в максимально короткие сроки и с минимальными затратами привести свои информационные системы ПДн в соответствие с требованиями законодательства о персональных данных. Со сроками работ разработчики справляются, а вот с минимизацией затрат на такие работы дело обстоит гораздо хуже. Ведь если рассматривать проблему в лоб, то получается следующее: есть информационная система персональных данных и необходимо совершить ряд действий, чтобы она соответствовала требованиям регуляторов. Разработчики технических решений и совершают такие действия. При этом рассматривают информационные ресурсы системы как данность.
В итоге техническая защита получается такой, как надо, но очень дорогой, и при этом остаются нерешенными множество вопросов:
- как определить через некоторое время, продолжает ли система соответствовать требованиям регуляторов (ведь жизнь не останавливается — в систему заносятся новые данные, и нет никаких гарантий, что в результате деятельности оператора класс системы не изменится);
- кто будет нести ответственность в случае утечки данных из компании;
- как отвечать на запросы субъектов персональных данных, особенно если компания-оператор имеет разветвленную филиальную сеть;
- как проходить проверки не только ФСТЭК РФ и ФСБ РФ, но и Роскомнадзора?
Получается, что серьезные деньги потрачены, а результат достигнут лишь частично.
Существует ли решение проблемы?
< ... >
