Казалось бы, закон “О персональных данных” (ЗоПД) должен вызывать у операторов персональных данных (реально под этот статус подпадает любая компания, организация, предприятие) рефлекторное неприятие, поскольку он требует от них новых материальных и людских затрат, налагает на них новые юридические обязательства перед регулирующими органами и перед субъектами ПД . Однако же, как выяснилось в ходе опроса, проведенного в феврале еженедельником PC Week/RE, подавляющая часть корпоративных респондентов (78%) относится к налагаемому ЗоПД дополнительному бремени вполне лояльно, соглашаясь как с выделением ПД в особый вид данных, так и с необходимостью налаживания специальной их защиты, за качество которой отныне им придется нести ответственность. Отдельные участники опроса, подчеркивая особую значимость ПД и необходимость упорядочения обращения с ними, выделили карательную составляющую ЗоПД как главенствующую в нем, полагая, что прежде всего этот “закон нужен для наказания [за нарушения устанавливаемого порядка обращения с ПД], а не для защиты [ПД]”.
Солидарность в необходимости принятия такого закона может внушать оптимизм по поводу его будущей судьбы, хотя мотивы этой солидарности респондентов достойны отдельного исследования, тем более что 16% опрошенных все-таки полагают, что для защиты ПД достаточно уже действующих законов, а стало быть, ЗоПД — избыточный, лишний. Радикально настроенные единицы из числа опрошенных, резко высказывая сомнения в состоятельности закона, даже полагают, что сами “законотворцы должны финансировать весь тот бред, который напридумывали”.
Тем не менее доминирующее одобрение ЗоПД налицо. А вот что касается степени готовности к вступлению закона в действие, то в этом смысле операторов, как показали результаты нашего опроса, пока можно разделить на три группы: 27% сообщили, что уже готовы работать “под законом”, 40% преисполнены уверенности в том, что успеют подготовиться к 1 января 2010-го (дате вступления ЗоПД в силу), 29% полагают, что точно не успевают к этой дате. И только 4% наших респондентов затруднились как-либо определить степень готовности своих компаний.
По результатам опроса нетрудно выделить и ключевые проблемы, затрудняющие обеспечение соответствия ЗоПД. Оказалось, что 68% опрошенных испытывают организационные трудности: в компаниях нет понимания того, кто, что и как должен делать; 48% ссылаются на нехватку денег, которые нужны для принятия необходимых мер; у 46% компаний нет технических специалистов, способных обеспечить выполнение требований закона.
Почти треть опрошенных (28%) не видит на рынке нужных ИТ-продуктов, с помощью которых можно построить защиту ПД в соответствии с требованиями ЗоПД. Такая позиция явно свидетельствует о реальной нехватке в самих компаниях квалифицированных технических специалистов, способных соотнести состояние рынка средств ИБ с требованиями ЗоПД, и о том, что компании не используют в полной мере внешний консалтинг. Иначе им было бы известно, что, по оценкам экспертов, работающих в области информационной безопасности, из тех ИТ-продуктов, которые доступны уже сегодня, вполне можно построить системы защиты ПД, полностью удовлетворяющие требованиям ЗоПД. С этим выводом согласны 9% респондентов, представляющих наиболее зрелые бизнесы страны, — они вообще не испытывают никаких проблем по поводу введения ЗоПД. Более того, разработчики средств защиты информации, руководствуясь рыночной конъюнктурой (а не давлением со стороны закона), сами стремятся реализовать в своих продуктах инструменты, позволяющие клиентам соответствовать внешним регламентирующим требованиям (в том числе требованиям ЗоПД), воспринимая это как конкурентное преимущество.
Имеющиеся у большей части опрошенных компаний организационные трудности напрямую связаны с недостатками в функционировании обратной связи между создателями и регуляторами ЗоПД, с одной стороны, и операторами и субъектами ПД — с другой; об этом говорили 46% респондентов. Косвенно на потребность в четкой работе такой связи указывают 70% опрошенных, испытывающих недостаток в более подробных методиках и руководствах, способных помочь им выполнить требования закона. Только единицы из числа принимавших участие в опросе считают, что представленный госорганами пакет документов достаточен для того, чтобы компании могли наладить у себя работу в соответствии требованиями ЗоПД.
Возможно, если бы канал связи с Госдумой, Минкомсвязи, Россвязьнадзором, ФСТЭКом, ФСБ был более доступным, то 26% респондентов, претендующих на предоставление операторам ПД большей свободы в определении режима защиты ПД, смогли бы обсудить свои претензии с этими инстанциями. Не исключено, что в результате такого обсуждения удалось бы сузить сферу регулирования ЗоПД, что снизило бы нагрузку на всех участников контролируемых этим законом процессов. Этот канал (будь он более прозрачным) стал бы еще одним инструментом в борьбе с коррупцией в государственных структурах, которую около 1% участников опроса отметили для себя как основную проблему обеспечения соответствия ЗоПД.