Игорь Калганов:

152-ФЗ в ретроспективном анализе развития ИБ- и ИТ-стратегий компаний можно назвать терминатором

На вопросы CNews отвечает Игорь Калганов, заместитель директора департамента информационной безопасности финансовой корпорации «Открытие».

CNews: Какие изменения были внесены в ИТ-стратегии финансовых компаний в 2009 г. в свете 152-ФЗ?

Игорь Калганов: Само понятие «стратегия» - суть формулирование основных долгосрочных целей и задач, согласование последовательности действий, а также распределение ресурсов, необходимых для достижения этих целей. Иными словами, это руководство к действию, оформленное в виде генеральной программы с четко сформулированными целями и основными путями их достижения, обеспеченное необходимыми ресурсами.

Значимость самого 152-ФЗ 2006 г. состоит в том, что если ранее защита конфиденциальной информации была рекомендована, то после вступления в силу данного закона она стала обязательной. И, конечно, 152-ФЗ в ретроспективном анализе развития ИБ- и ИТ-стратегий компаний можно назвать терминатором.

Председатель Совета директоров Финансовой корпорации «Открытие», Б.И. Минц, при определении основных целей деятельности по информационной безопасности и ИТ, потребовал обеспечить неукоснительное выполнение федерального законодательства. Исходя из этого, в рамках выполнения поставленных задач в группе компаний «Открытие» был начат проект по приведению ИСПДН в соответствие с требованиями закона: мобилизованы силы и ресурсы. Наиболее существенным при реализации проекта, считаю, именно понимание значимости и всестороннюю поддержку со стороны руководства. Это и есть более чем наглядный пример изменений (уточнений) ИБ и ИТ-стратегий компаний.

CNews: Насколько активно, на ваш взгляд, рынок реализовывал проекты по приведению систем персональных данных в соответствие с требованиями законодательства?

Игорь Калганов: Рынок весьма активно отнёсся к реализации этих проектов. Конечно, если говорить о бюджетных организациях РФ, то о какой-либо активности не может быть и речи в силу как объективных, так и субъективных причин.

CNews: В чем вы видите основные сложности подобных инициатив? С какими из них  пришлось столкнуться вам в своей практике?

Игорь Калганов: Существенная сложность – это отдельные нечёткие, двусмысленные формулировки в документах, изданных в развитие 152-ФЗ; весьма слабая взаимосвязь названных документов с организацией работ, введённой в практику задолго до вступления в силу закона «О персональных данных». Я имею в виду систему аттестации автоматизированных систем.

В качестве ещё одного негативного фактора, влияющего на реализацию проектов, я хочу отметить недостаточную информированность участников рынка. Это связано с тем, что ряд нормативно-методических документов имеет ограничительные грифы.

Но основная сложность заключается в недопустимо малом количестве квалифицированного персонала, способного понять и реализовать требования регуляторов. Причём стоит отметить, что далеко не все организации, оказывающие возмездные услуги в рамках реализации проектов по приведению ИСПДН в соответствие с законом, имеют в своём составе необходимое количество специалистов с соответствующей квалификацией.

Без лишней скромности замечу, что благодаря высококвалифицированной команде, сформированной в финансовой корпорации «Открытие», а также благодаря тому, что к работам привлечена одна из наиболее компетентных и опытных компаний - «Инфосистемы Джет», проект идёт без каких-либо ощутимых проблем.

CNews: Какова в среднем длительность такого проекта?

Игорь Калганов: В группе компаний «Открытие» подготовка к проекту началась в ноябре 2008 года со сбора и анализа исходных данных, определения объёмов, этапов и последовательности работ.

Сам проект, включая конкурс по выбору подрядчика и сами работы, был начат в июне текущего года и рассчитан на семь месяцев. Завершение работ запланировано на  декабрь текущего года.

CNews: Насколько подобные активности затратны для операторов данных в ситуации экономического спада?

Игорь Калганов: Мне сложно оценивать уровень затрат, так как я не являюсь распорядителем бюджетов операторов. Но могу процитировать заместителя генерального директора ФК «Открытие» А. Предтеченского: «Расходы по проекту весьма существенны, но не критичны. Для группы «Открытие» реализация данного проекта есть часть долгосрочной стратегии по созданию системы управления операционными рисками и построению системы комплаенса в соответствии с международными стандартами. Вступление в действие закона 152 ФЗ для нас стало поводом расставить приоритеты среди нескольких проектов в этой области. Возможные изменения в Законе, обсуждающиеся в настоящее время в Государственной Думе в части сроков реализации отдельных положений Закона не повлияют на судьбу реализуемого проекта. Вместе с тем, отсрочка внедрения ряда требований позволит провести эту работу более качественно». Это была оценка затрат и значимости проекта всех операторов, входящих в Группу компаний «Открытие».

CNews: Как можно оценить результат такого проекта? Какова оценка соответствия систем требованиям безопасности персональных данных?

Игорь Калганов: Говоря о результатах проекта, прежде всего, следует отметить главный – построение системы работы всех подразделений, прямо или косвенно принимающих участие в реализации требований закона и регуляторов; построение чёткой системы взаимодействия между подразделениями и отдельными специалистами, должностными лицами и, конечно, приобретение опыта.

Что касается самого проекта и оценки соответствия ИСПДН требованиям законодательства, то, основываясь на уже имеющихся результатах, уверен, что работы будут завершены в утверждённые сроки с соответствующим качеством.

CNews: Спасибо.