152-ФЗ. Переноса сроков не будет.

152-ФЗ. Переноса сроков не будет.
Интернет уже облетела эта новость . Как известно, Ассоциация региональных банков России обратилась в Роскомнадзор с просьбой переноса срока проверки информационных систем персональных данных на соответствие федеральному закону 152-ФЗ.
Ответ был вполне ожидаем - первое января 2010 г. никуда не переносится. Вместе с тем Роскомнадзор отмечает, что «проблемные вопросы напрямую связаны с существующей методологией защиты ИСПДн,требующей проведения их классификации и использования криптографических средств защиты информации».
Ну что же, интеграторы и производители средств защиты потирают руки в ожидании роста прибыли, а их клиенты - банки, страховые компании и все остальные, кто уже осознал требования 152-ФЗ, видимо, уже начинают перераспределять свои затраты и пытаться минимальной кровью (читай - "деньгами") удовлетворить требованиям регуляторов.
Высказываемые в последнее время в некоторых интервью робкие надежды на рост рынка информационной безопасности (ИБ) в 2009 году связаны именно с этим законом. Вместе с тем, надеятся, что решения будут продаваться сами собой, если в их сертификате будут написаны волшебные буквы ИСПДн с указанием класса - весьма наивно. Для соответствия ФЗ иметь оплаченный чек на покупку сертифицированного продукта явно не достаточно. И вот тут уже вступают в игру партнёры производителей средств защиты и их собственные отделы консалтинга и внедрения. Ну а какие продукты будет предлагать тот или иной интегратор - это зависит исключительно от его собственных предпочтений.
В принципе, ситуация довольна банальна - принят закон, для соответствия которому нужно заплатить. При выявленных несоответствиях тоже нужно будет заплатить - деньгами (штраф) или риском приостановки бизнеса (есть и такие возможности и проверяющих). Что остаётся руководителю? Принять решение о том кому заплатить - интегратору и вендору, государству или (к сожалению тоже нельзя отбрасывать такой вариант) в карман чиновнику. Россисйские бизнесмены уже давно привыкли выбирать в таких ситуациях. Ведь обощённо, даже уплата любого налога оставляет тот же выбор: соблюсти все формальности, выплатить штраф или дать взятку.
Так что с этой точки зрения ничего сверхъестественного в новом законе для российского бизнеса нет. Единственное, что расстраивает, так это попытки отдельных личностей в пылу (видимо) самопиара пытаться заниматься буквоедством: выискивать в законе несоответствия и пытаться юридическими методами уйти от выполнения требований. Конечно, это увлекательно, порождает массу дискуссий на эту тему и приводит к жарким спорам. Остаётся только непонятной целесообразность таких дебатов. Авторы таких рекомендаций готовы взять на себя ответственность за последствия, которые могут повлечь за собой попытки следовать их советам? Думаю, что нет.
Alt text

Алексей Комаров

Всё, что я пишу в этом блоге, отражает только мою личную точку зрения и не имеет никакого отношения к точке зрения организации, в которой я работаю (работал) или с которой у меня существуют (существовали) официальные или неофициальные отношения.