LETA IT-company выпускает первый на российском рынке самоучитель по защите персональных данных

Значительным преимуществом «Руководства» является универсальность и применимость всех его положений к организациям разных типов – представляющим различные отрасли, обрабатывающим различные объемы персональных данных всех категорий, используя при этом разнообразные наборы технических средств.

Подчеркнем, что «Руководство», не имеющее аналогов на российском рынке, предоставляется бесплатно, его можно скачать с сайта компании LETA (http://www.leta.ru/library/methodological/id_477.html).

Новый информационный продукт LETA IT-company ориентирован сразу на несколько целевых групп.

В первую группу входят предприятия среднего и малого бизнеса, которые как операторы персональных данных в полной мере подпадают под действие №152-ФЗ и других элементов действующей нормативной базы. При этом на российском рынке в настоящее время нет ориентированных на эту группу адекватных по цене продуктов и услуг по защите ПДн, а объективная сложность нормативной базы и типичный для этих предприятий уровень компетенции персонала в вопросах ИБ практически исключают возможность самостоятельного проведения соответствующих проектов. «Руководство» в значительной степени закрывает эту брешь.

Другую группу составляют крупные предприятия любого направления деятельности, привлекающие профессионального консультанта к решению задачи защиты персональных данных. Известно, что в настоящее время потребность в подобных проектах многократно превышает суммарные возможности квалифицированных поставщиков соответствующих решений, способных гарантировать заказчику сочетание технической эффективности и полной юридической корректности внедренной системы. В этих условиях рынок защиты ПДн оказался перед угрозой кризиса качества, связанной с появлением множества некомпетентных исполнителей, предложения которых выгодны по цене и кажутся неподготовленному заказчику вполне корректными. Естественно, при любой проверке дефекты решения будут выявлены. Этой категории пользователей «Руководство» позволит гораздо яснее уяснить логику всего процесса создания системы защиты ПДн и взаимодействия с регулирующими органами, а следовательно – четко ставить задачи исполнителю и контролировать промежуточные и конечные результаты проекта.

Особо отметим, что «Руководство», по мнению компании LETA, будет способствовать формированию с середины 2010 года нового сегмента российского рынка защиты персональных данных, связанного с юридическим и аналитическим сопровождением уже внедренных систем защиты ПДн. В связи с неизбежным развитием нормативной базы поддержание корректности этих систем в течение длительного времени является актуальной и нетривиальной задачей, наиболее привлекательным вариантом решения которой служат профессиональные услуги по сопровождению. «Руководство», которое компания LETA планирует поддерживать в актуальном состоянии, существенно упростит взаимодействие пользователя и поставщика услуги, а также смягчит проблемы, связанные с текучкой кадров.

Подготовка «Руководства» заняла более четырех месяцев, причем к этой работе были привлечены ведущие специалисты LETA IT-company, занятые в «живых» проектах по защите ПДн, а также ряд экспертов, специализирующихся в отдельных областях применения законодательных актов в сфере защиты персональных данных и информационной безопасности в целом. Отметим также, что широко использовались оригинальные учебо-методические наработки компании LETA, созданные при проведении многочисленных семинаров, мастер-классов и обучении специалистов в Международном университете информационной безопасности (МУИБ).

Столь значительная ресурсоемкость данного проекта связана с тем, что создаваемый информационный продукт был изначально ориентирован на пользователей, не знакомых с областью зашиты ПДн. Так, например, изложение начинается с определения основных понятий и аббревиатур. При этом, несмотря на объективную сложность нормативной базы и обилие юридических и технических деталей, создатели «Руководства» заранее жестко ограничили его объем, чтобы сохранить практическую направленность и не «утопить» читателя в огромном объеме второстепенных деталей. Естественно, это резко усложнило отбор и систематизацию материала, но привело к созданию продукта, который действительно четко показывает главную линию движения, а также основную последовательность шагов при приведении ИСПДн в соответствие требованиям №152-ФЗ. Кроме того, он формирует у пользователя системный взгляд на проблему, позволяющий легко наращивать объем знаний и правильно увязывать общие принципы защиты ПДн со спецификой отрасли и бизнеса конкретного оператора.

Подчеркнем, что «Руководство» не является лишь подборкой информации. Специально для него компания LETA разработала оригинальную методику, позволяющую, начав с оценки проблемы, довести работу до корректного практического результата. При этом LETA IT-company сделала общедоступной часть собственной методологии ведения крупных проектов по защите ПДн, адаптировав ее для использования специалистами без специальной профессиональной подготовки в сфере защиты персональных данных. Такой подход дает потребителю два преимущества. Во-первых, в его распоряжении оказывается инструмент, многократно проверенный в реальных проектах. Во-вторых, упрощается привлечение профессионального поставщика услуг к выполнению отдельных этапов проекта.

Всего «Руководство» описывает 11 ключевых шагов, следование которым позволяет выполнить требования №152-ФЗ. Описание каждого шага четко структурировано и связывает его с «окружением», показывая роль в общей последовательности действий, логику и предпосылки формирования, цели и основания проведения работ, их состав и  результат. Дополнительные комментарии к каждому шагу обозначают сложные и противоречивые моменты, на которые необходимо обратить особое внимание. Также описание каждого шага содержит полный перечень нормативных документов, положения которых определяют необходимость данного шага и обосновывают его включение в список рекомендаций компании LETA. Заканчивается «Руководство» полным перечнем нормативно-правовых документов в сфере защиты персональных данных и подборкой ссылок на полезные интернет-ресурсы по этой теме.

Отметим, что актуальность «Руководства» заметно возрастает в связи с состоявшимся переносом на год срока исполнения требований №152-ФЗ, а также с внесением первых изменений в этот закон. Прошедший период отчетливо показал, что один год, появившийся у операторов ПДн, – это достаточно сжатый срок, уложиться в который можно только при четком планировании проекта и его запуске не менее чем за 8-10 месяцев до намеченной даты завершения. При этом необходимо учитывать указанную выше проблему дефицита квалифицированных исполнителей. В 2009 году к этому оказались готовы лишь крайне немногочисленные компании. При этом для большинства операторов ПДн главными причинами неудач стали: путаница в сложных законодательных нормах, расчет сделать проект «малой кровью», надежда на «авось». Несомненно,  «Руководство» поможет заинтересованной компании резко снизить вероятность столкновения с соответствующими проблемами. Это особенно важно, т.к. в 2010 году дальнейших отсрочек ожидать не приходится, а санкции за невыполнение №152-ФЗ начнут применяться со всей строгостью. А это и административные меры, и серьезные финансовые взыскания, и уголовная ответственность ключевых должностных лиц, и остановка деятельности организации.

Существенно, что в материалах «Руководства» уже учтена еще одна важнейшая поправка к №152-ФЗ, недавно принятая Госдумой РФ, – исключение требования по использованию шифровальных (криптографических) средств. Хотя дальнейшие изменения нормативной базы возможны, в 2010 году, по мнению специалистов,  на рынке другие принципиальные изменения не ожидаются. Поэтому откладывание начала проекта по защите ПДн до окончательной стабилизации нормативной базы связано с высокими рисками нехватки времени или отсутствия свободных ресурсов у компаний-исполнителей. Кроме того, стоит учитывать, что не менее 65% трудозатрат в таких проектах приходится на организационную составляющую, практически инвариантную по отношению к незначительным изменениям законодательства. Соответственно, оптимальной стратегией, связанной с наименьшими рисками, является запуск проектов построения систем защиты персональных данных уже в ближайшее время. А оставшаяся часть работ, связанная с развертыванием технических средств, может быть отложена до окончательных изменений в законодательстве.

«ФЗ “О персональных данных” создал мощный рынок и сформировал очередь заказчиков к высококвалифицированным поставщикам соответствующих услуг. Казалось бы, в соответствии с логикой рынка, такое положение вещей должно радовать любого профессионального консультанта в сфере защиты ПДн, – говорит Андрей Конусов, генеральный директор LETA IT-company. – Наша компания придерживается иной точки зрения. Мы уверены, что лидеры рынка должны заботиться не только о своих заказчиках, но чувствовать ответственность и за состояние рынка в целом, за кризис качества, за тех операторов персональных данных, на кого имеющихся ресурсов не хватит, за те многочисленные предприятия, для которых сегодня вообще нет подходящих предложений. В этом и состоит социальная ответственность бизнеса, неотделимая, на наш взгляд, от самого понятия “лидер”. Мы постоянно помнили об этом, создавая “Руководство” и включая в него методики и компетенции, в формирование которых наша компания вложила немалые средства, и которые имеют большую коммерческую ценность. Такой подход пока нехарактерен для нашего рынка, но мы надеемся, что появление “Руководства” смягчит болезни роста всего российского рынка информационной безопасности».