Отчет Делойт

Оценка готовности
к выполнению требований
федерального закона
«О персональных данных»
Результаты исследования
Август 2009 года

Содержание
4 Вступительное слово
6 Цели и задачи исследования
8 Респонденты
12 Основные выводы
15 Текущее состояние
22 Оценка нормативной базы
30 Влияние на основную деятельность
34 Текущие показатели
38 Планы
42 Организация, проведение и оценка результатов исследования
43 Законодательные и нормативно-правовые акты
45 Благодарность
46 Контакты
47 О «Делойте»
Оценка готовности к выполнению требований федерального закона «О персональных данных» Результаты исследования 3
Вступительное слово
В рамках осуществления своей деятельности

организация получает доступ к персональным
данным своих клиентов, сотрудников и других
заинтересованных лиц. Хранение и обработка этих
данных не только является одним из средств
достижения организацией своих целей, но и влечет
за собой дополнительную ответственность
4
Мы рады предложить вашему вниманию результаты Данные выводы наряду с требованиями
исследования, посвященного оценке готовности Федерального закона Российской Федерации
крупнейших российских организаций, занятых в «О персональных данных» вызвали значительный
сфере высоких технологий, телекоммуникаций интерес к исследованию ситуации в России
и финансовых услуг, к выполнению требований со стороны организаций, занятых в сфере высоких
Федерального закона Российской Федерации технологий, телекоммуникаций и финансовых услуг,
№152-ФЗ «О персональных данных». основная деятельность которых связана с хранением
и обработкой больших объемов персональных
Проведение данного исследования является данных, и послужили стимулом для проведения
продолжением международного обзора более подробного исследования в данной области.
объединения компаний «Делойт», посвященного Результаты этого исследования приводятся в
информационной безопасности в сфере высоких настоящем документе.
технологий, телекоммуникаций, развлечений и
СМИ1 по итогам 2008 года, к результатам которого От лица компании «Делойт», СНГ и Группы по
можно отнести нижеследующие выводы. управлению рисками организаций мы хотели
бы поблагодарить всех участников данного
• Многие компании отрасли не имеют программы исследования, которые поделились с нами своим
по управлению соблюдением нормативных правил опытом в отношении выполнения требований
и требований в области защиты персональных Федерального закона «О персональных данных».
данных и формализованных регламентов в На наш взгляд, подобное содействие может
отношении уничтожения персональных данных. способствовать повышению эффективности и
экономичности защиты персональных данных,
• Вопрос защиты конфиденциальной информации обеспечению соответствия указанных мероприятий
вызывает обеспокоенность со стороны действующему законодательству и дальнейшему
большинства потребителей, которым все чаще совершенствованию регулирования в этой области.
приходится раскрывать свои персональные
данные. С уважением,
• Несоблюдение нормативных правил и требований

может привести к штрафам и значительным
последствиям.
Дмитрий Яковенко
Партнер
Департамент консалтинга
1. Вы можете ознакомиться
с результатами исследо-
вания международного
объединения компаний
«Делойт», посвящен-
ного информационной
безопасности в области
высоких технологий,
телекоммуникаций,
развлечений и СМИ, на
нашем сайте в Интернете:
http://www.deloitte.ru.
Цели и задачи
исследования
Ответственный подход к соблюдению требований

законодательства наряду с открытым обсуждением
возникающих трудностей и обменом опытом
поможет найти наиболее оптимальные решения
6
В 2006 году в Российской Федерации был принят системы персональных данных (далее также —
Федеральный закон от 27 июля 2006 года № 152-ФЗ ИСПД), осуществляется в соответствии с данным
«О персональных данных» (далее также — Закон), Законом. Кроме того, не позднее 1 января 2008
целью которого является обеспечение защиты прав года операторы, осуществляющие обработку
и свобод человека и гражданина при обработке его персональных данных до дня вступления в силу Закона
персональных данных, в том числе защиты прав и продолжающие осуществлять такую обработку
на неприкосновенность частной жизни, личную и после дня его вступления в силу, обязаны направить
семейную тайну. Данным законом регулируются в уполномоченный орган по защите прав субъектов
отношения, связанные с обработкой персональных персональных данных соответствующее уведомление.
данных с использованием средств автоматизации или
без использования таких средств. И наконец, все информационные системы
персональных данных, созданные до дня
Под персональными данными (далее также — ПД) вступления Закона в силу, должны быть приведены
понимается любая информация, относящаяся к в соответствие с требованиями Закона не позднее
определенному или определяемому на основании 1 января 2010 года.
такой информации физическому лицу (субъекту
персональных данных). В том числе к персональным Первоочередной целью исследования,
данным относятся такие данные, как фамилия, имя, посвященного готовности крупнейших российских
отчество, год, месяц, дата и место рождения, адрес, организаций к выполнению требований
семейное, социальное, имущественное положение, Федерального закона «О персональных данных»,
образование, профессия, доходы. является привлечение внимания к важности
надлежащего хранения и обработки персональных
Обработка персональных данных определяется как данных наряду с обеспечением эффективности
действия (операции) с персональными данными, и экономичности этого процесса.
включая сбор, систематизацию, накопление, хранение,
уточнение (обновление, изменение), использование, В ходе исследования стояла задача получить ответы
распространение (в том числе передачу), на следующие основные вопросы:
обезличивание, блокирование, уничтожение.
• Какова ситуация с защитой персональных
Оператор персональных данных определяется данных в крупнейших российских организациях
как государственный орган, муниципальный орган, в настоящее время?
юридическое или физическое лицо, организующие
и (или) осуществляющие обработку персональных • С какими трудностями сталкиваются организации
данных, а также определяющие цели и содержание в процессе совершенствования своего подхода
обработки персональных данных. к хранению и обработке персональных данных
в целях соблюдения требований законодательства?
Данный Закон вступил в силу по истечении 180 после
дня его официального опубликования 29 июля 2006 • Какие финансовые и временные ресурсы
года. Согласно документу обработка персональных необходимы для выполнения требований
данных, включенных в информационные Федерального закона «О персональных данных»?
Респонденты
В данном исследовании отражена степень

готовности крупнейших российских организаций
к выполнению требований законодательства
в области обработки персональных данных
на сегодняшний день
5%
76%
8
Исследование проводилось среди российских • Финансовые организации, хранящие
организаций и российских подразделений и/или обрабатывающие данные 1 млн — 5 млн
международных организаций, занятых в отраслях, субъектов персональных данных, — 33%. К этой
связанных с обработкой значительного количества группе относятся в основном организации,
персональных данных. При этом основной акцент специализирующиеся на предоставлении
делался на коммерческие организации и на то, чтобы финансовых услуг широкого профиля (23%),
в число респондентов были включены достаточно а также организации, специализирующиеся на
крупные компании. Такой выбор объясняется тем, кредитовании и страховании (10%);
что именно коммерческие организации, основная
деятельность которых связана с обработкой • Остальные респонденты, хранящие и/или
значительного количества персональных данные, обрабатывающие данные менее чем 500 тыс.
в наибольшей степени заинтересованы и вероятнее субъектов персональных данных, — 52%. К этой
всего имеют необходимые ресурсы для выполнения группе относятся информационные интернет-
требований законодательства в области защиты организации и прочие телекоммуникационные
персональных данных. компании (9%), а также прочие организации,
специализирующиеся на предоставлении
С учетом отраслевой принадлежности и количества финансовых услуг (43%).
хранимых и обрабатываемых субъектов
персональных данных, чьи данные хранились и/или Необходимо отметить, что некоторые респонденты
обрабатывались респондентами по состоянию на (5%) затруднились ответить на вопрос об объеме
1 июня 2009 года, среди респондентов можно хранящихся и обрабатываемых персональных
выделить нижеследующие основные группы: данных по состоянию на 1 июня 2009 года. Данный
факт может свидетельствовать о том, что в этих
• Телекоммуникационные компании, хранящие организациях работы по подготовке к выполнению
и/или обрабатывающие данные более чем 10 млн требований Закона находятся на начальном этапе.
субъектов персональных данных, — 10%. К этой
группе относятся компании, основная деятельность
которых связана с услугами мобильной связи.
Распределение по отраслям Количество субъектов, персональные данные
которых обрабатываются вашей организацией
по состоянию на 1 июня 2009 года (в количестве
человек, не считая сотрудников организации)?
5% 9%
19% 5%
5%
14%
5%
10%
33%
76%
19%
Банки Менее 1 тыс. человек
Страхование От 10 тыс. до 50 тыс. человек
Телекомуникации и Интернет От 50 тыс. до 100 тыс. человек
От 100 тыс. до 500 тыс. человек
От 1 млн до 5 млн человек
От 10 млн до 50 млн человек
Более 50 млн человек
Затрудняюсь ответить
По количеству сотрудников респонденты

распределились следующим образом:
• более 5 тыс. сотрудников (из них 10% —

телекоммуникационные компании) — 33%;
• от 1 тыс. до 5 тыс. сотрудников (из них 5% —

телекоммуникационные компании) — 33%;
• менее 1 тыс. сотрудников (из них 5% —

информационные интернет-организации) — 24%.
10
Количество сотрудников
14%
24%
19%
10%
33%
От 101 до 500 Для того чтобы способствовать открытому

и откровенному обсуждению вопросов. было
От 501 до 1000 принято решение сохранить анонимность участников,
не указывая названий организаций, принявших
От 1001 до 5000 участие в исследовании.
От 5001 до 10000
от 10001 до 50000
Основные выводы
1. Менее половины респондентов уверены в том,

что существующие средства информационной
безопасности позволяют надежно защитить
персональные данные.
Организации прилагают значительные усилия для полномочий администраторов информационных
защиты своей коммерческой информации, что, систем, исключено.
безусловно, также обеспечивает определенный
уровень защиты персональных данных. Однако Другие 33% респондентов затруднились
уровень защиты, приемлемый для многих ответить, в какой мере существующие средства
организаций в отношении данных по операционной информационной безопасности (далее также — ИБ)
деятельности, может быть недостаточным для обеспечивают защиту персональных данных.
защиты персональных данных.
Таким образом, менее половины респондентов
Согласно результатам исследования 43% убеждены в том, что существующие средства
респондентов считают, что существующая ИБ позволяют защитить персональные данные
система защиты исключает возможность от несанкционированного доступа. Кроме того,
несанкционированного доступа к персональным отсутствует уверенность относительно того, что
данным. Однако эти респонденты не уверены, авторизованным пользователям не могли быть
что использование с целью доступа к персональным ошибочно предоставлены избыточные права доступа,
данным избыточных прав доступа, которые могут а также относительно того, что злоупотребления
быть тем не менее санкционированы руководством, со стороны пользователей с расширенными
и расширенных полномочий, например полномочиями исключены.
2. Подавляющее число респондентов признают

важность законодательного регулирования в области
персональных данных, однако считают многие
требования Закона неясными, избыточными
или спорными.
Несмотря на то, что в целом респонденты ванные требования и что необходимы дополни-
осознают важность законодательного регулиро- тельные разъяснительные документы и отраслевые
вания обработки персональных данных, только стандарты. Почти половина респондентов (43%)
2. Комментарии респон- 9% респондентов считают целесообразными все отметили несогласованность и возможные противо-
дентов касались требования действующего Закона. При этом 81% речия между требованиями Закона2 и другими
не только самого респондентов считают часть требований Закона действующими федеральными законами, отрас-
Закона, но и связанных
избыточными и/или спорными. Так, 85% респон- левым законодательством и стандартами, а также
с ним законодательных
и нормативно-правовых
дентов полагают, что Закон в его текущей редакции прочими регламентирующими документами.
актов. содержит неясные или недостаточно детализиро-
12
3. Большинство респондентов не видят в выполнении
требований Закона прямой практической пользы для
своих клиентов и опасаются повышения стоимости
предоставляемых услуг.
Закон предусматривает выполнение организациями, Кроме того, почти половина респондентов (48%)
обрабатывающими персональные данные, считают, что в результате выполнения требований
ряда дополнительных функций и реализации Закона уровень обслуживания не повысится,
организационных и технических мер по защите но увеличится стоимость услуг их организаций.
персональных данных. Однако только 5% Таким образом, большинство респондентов не видят
респондентов полагают, что выполнение требований прямой практической пользы для своих клиентов
Закона повысит уровень обслуживания клиентов. в выполнении требований Закона.
4. Выполнение требований Закона рассматривается

на данный момент скорее как задача службы
информационной безопасности, а не всей
организации в целом, что делает степень готовности
недостаточно высокой.
Организация, обрабатывающая персональные обработки и защиты персональных данных также
данные, должна реализовать ряд мероприятий, реализованы менее чем у 30% респондентов.
направленных на выполнение требований Закона.
Как показало исследование, в наибольшей степени Данные респондентами ответы демонстрируют,
проведены мероприятия, связанные с выявлением что выполнение требований Закона рассматривается
информационных систем персональных данных, на данный момент скорее как задача службы ИБ,
внедрением базовых средств защиты и определе- а не организации в целом. Ни одна из организаций,
нием работающего с ними круга лиц (реализовали от принявших участие в исследовании, на данный
43% до 76% респондентов). момент не закончила работы по доработке/замене/
проведению оценки соответствия информационных
Организационные мероприятия, связанные систем персональных данных с учетом требований
с разработкой программы соответствия требова- Закона, а также работы по внедрению формали-
ниям Закона, анализом и внесением изменений зованного процесса для обработки обращений
в бизнес-процессы и проведением обучения для субъектов персональных данных, что свидетельствует
сотрудников, реализованы менее чем у 30% респон- о низкой степени готовности организаций к выпол-
дентов. Пересмотр внутренних регламентирующих нению требований Закона.
документов и разработка регламентов в области
5. Недостаточное количество специалистов, а также
существенные финансовые и временные затраты
делают маловероятной готовность большинства
организаций к выполнению требований Закона
до 1 января 2010 года.
Согласно оценкам респондентов для выполнения дающих необходимыми знаниями и квалификацией
требований Закона потребуется значительное время, для подготовки организации к выполнению требо-
которое оценивается подавляющим большин- ваний Закона, вынуждает организации обращаться
ством респондентов (76%) в диапазоне от девяти к услугам профессиональных консультантов. Кроме
месяцев до более чем двух лет. Более половины того, респонденты отмечают разрыв между необхо-
респондентов (62%) ответили, что специалисты, димыми инвестициями и бюджетом 2009 года на
обладающие необходимыми знаниями и квалифи- выполнение требований Закона. С учетом низкой
кацией для подготовки организации к выполнению степени готовности организаций к выполнению
требований Закона, есть, но их недостаточно. Еще требований Закона на данный момент большинство
14% респондентов ответили, что необходимых организаций не смогут обеспечить выполнение
специалистов нет. Нехватка специалистов, обла- требований Закона к 1 января 2010 года.
14
Текущее состояние
Менее половины респондентов уверены в том,

что существующие средства информационной
безопасности позволяют надежно защитить
персональные данные.
Респонденты, принявшие участие в исследовании, • обслуживание клиентов — 100%;

отмечали, что целый ряд функциональных областей • ИТ и информационная безопасность — 90%;
деятельности их организаций связан с хранением • управление персоналом — 76%;
и обработкой персональных данных, включая • юридическое обеспечение основной
финансы и бухгалтерию, маркетинг и продажи, деятельности — 67%.
управление рискам, технологическую инфраструктуру,
а также отношения с акционерами и контрагентами. Таким образом, выполнение требований Закона для
Однако наиболее важными для большинства респон- большинства респондентов в первую очередь связано
дентов являются: с перечисленными выше четырьмя основными
сферами деятельности.
Количество субъектов, персональные данные которых обрабатываются

вашей организацией по состоянию на 1 июня 2009 года (в количестве
человек, не считая сотрудников организации)?
Обслуживание клиентов 100%

ИТ и информационная
90%
безопасность
Управление персоналом 76%
Финансы и бухгалтерия 67%
Юридическое обеспечение 67%
Маркетинг и продажи 57%
Управление рисками 57%

Технологическая
инфраструктура
38%
Логистика 10%
С целью установления методов и способов защиты По количеству персональных данных собственных
информации, необходимых для обеспечения сотрудников 67% респондентов обрабатывают персо-
безопасности персональных данных, оператор нальные данные от 1 тыс. до 100 тыс. субъектов, 33%
проводит классификацию информационных систем респондентов обрабатывают персональные данные
персональных данных3. Под информационной менее чем 1 тыс. субъектов. Телекоммуникационные
системой персональных данных в Законе понимается компании присутствовали только в группе «от 1 тыс.
информационная система, представляющая собой до 100 тыс. субъектов», в то время как банки входили
совокупность персональных данных, содержащихся в обе группы.
в базе данных, а также информационных технологий
и технических средств, позволяющих осуществлять Приказ ФСТЭК России, ФСБ России и
обработку таких персональных данных с использова- Мининформсвязи России определяет также четыре
нием средств автоматизации или без использования категории обрабатываемых в информационных
таких средств. системах персональных данных:
В соответствии с Приказом Федеральной службы • первая категория — персональные данные,

по техническому и экспортному контролю касающиеся расовой, национальной принад-
(далее — ФСТЭК России), Федеральной службы лежности, политических взглядов, религиозных
безопасности (далее — ФСБ России) и Министерства и философских убеждений, состояния здоровья,
информационных технологий и связи Российской интимной жизни;
Федерации (далее — Мининформсвязи России)4 • вторая категория — персональные данные, позволя-
при проведении классификации информационных ющие идентифицировать субъекта персональных
систем персональных данных учитываются: данных и получить о нем дополнительную инфор-
мацию, за исключением персональных данных,
• категория обрабатываемых в информационной относящихся к первой категории;
системе персональных данных; • третья категория — персональные данные,
• объем обрабатываемых персональных данных позволяющие идентифицировать субъекта
(количество субъектов, персональные данные персональных данных;
которых обрабатываются в информационной • четвертая категория — обезличенные и (или) обще-
системе); доступные персональные данные.
• заданные оператором характеристики безопас-
ности персональных данных; Чем больше объем персональных данных и выше
• характеристики средств информационной системы. их категория (первая категория — самая высокая),
3. В соответствии
тем более серьезные методы и способы защиты
с Постановлением
Правительства Объем обрабатываемых персональных данных должны применяться оператором для обеспечения
Российской Федерации распределяется на три группы: «менее чем 1тыс. безопасности персональных данных. Методы
от 17 ноября 2007 года
субъектов», «от 1 тыс. до 100 тыс. субъектов» и «более и способы защиты информации в информаци-
№ 781 «Об утверж-
дении Положения об чем 100 тыс. субъектов». онных системах устанавливаются ФСТЭК России
обеспечении безопас- и ФСБ России.
ности персональных
Что касается количества обрабатываемых персо-
данных при их обработке
в информационных нальных данных клиентов, то 62% респондентов Подавляющее большинство респондентов (81%)
системах персональных обрабатывают персональные данные более хранят и обрабатывают персональные данные,
данных».
чем 100 тыс. субъектов, еще 24% обрабаты- позволяющие идентифицировать субъект персо-
вают персональные данные от 1 тыс. до 100 тыс. нальных данных и получить о нем дополнительную
4. Приказ ФСТЭК
России, ФСБ России, субъектов. Персональные данные менее чем 1 тыс. информацию, за исключением персональных данных,
Мининформсвязи России субъектов обрабатывают лишь 9% респондентов. относящихся к категории первой, то есть персо-
от 13 февраля 2008
Телекоммуникационные компании присутствовали нальные данные категории второй. Персональные
года № 55/86/20 «Об
утверждении Порядка только в группе «более чем 100 тыс. субъектов», данные, относящиеся к категории первой, обрабаты-
проведения классифи- в то время как банки входили во все три группы. вают только респонденты, занимающиеся страховой
кации информационных
деятельностью.
систем персональных
данных».
16
Какой тип персональных данных обрабатывается вашей организацией?
Персональные данные, позволяющие

5% идентифицировать субъект персональных
данных (например, Ф. И. О и паспортные данные
14% или Ф. И. О., адрес прописки и год рождения)

идентифицировать субъект персональных
данных и получить о нем дополнительную
информацию

81% идентифицировать субъект персональных
данных и получить о нем дополнительную
информацию, включая расовую и национальную
принадлежность, политические взгляды,
религиозные и философские убеждения,
состояние здоровья, интимную жизнь
По результатам классификации информационных • учет применяемых средств защиты информации;

систем персональных данных оператор должен5 • учет лиц, допущенных к работе
в отношении каждой из них выполнить мероприятия с персональными данными;
по обеспечению безопасности персональных данных, • контроль соблюдения условий использования
которые включают: средств защиты информации;
• разбирательства и составление заключений
• формирование модели угроз; по фактам несоблюдения условий хранения
• разработку системы защиты персональных данных; носителей персональных данных, использования
• проверку готовности средств защиты; средств защиты информации;
• установку и ввод в эксплуатацию средств защиты; • описание системы защиты.
• обучение лиц, использующих средства
защиты информации;
5. В соответствии
с Постановлением
Правительства
Российской Федерации
от 17 ноября 2007 года
№ 781 «Об утверж-
дении Положения об
обеспечении безопас-
ности персональных
данных при их обработке
в информационных
системах персональных
данных».
Очевидно, что чем больше информационных систем, систем, хранящих и обрабатывающих персональные
обрабатывающих персональные данные, использу- данные. Все респонденты, хранящие и обрабаты-
ется в организации, тем больший объем финансовых вающие персональные данные более чем 1 млн
и временных ресурсов необходимы для выполнения субъектов, эксплуатируют как минимум пять соот-
требований законодательства по обработке персо- ветствующих информационных систем, а большая
нальных данных. Большинство респондентов (52%) часть этих респондентов эксплуатирует более десяти
эксплуатируют более десяти информационных соответствующих информационных систем.
Сколько в вашей организации информационных систем, обрабатывающих

персональные данные?
5%
Менее 5
24%
От 5 до 10
Более 10
52% 19%
Организации прилагают значительные усилия для в любой организации есть сотрудники, имеющие
защиты своей коммерческой информации, что, избыточные или расширенные права доступа,
безусловно, обеспечивает определенный уровень которые могут быть использованы для доступа
защиты и персональных данных. Однако уровень к коммерческой информации вообще и персо-
защиты, приемлемый для многих организаций нальным данным в частности.
в отношении данных по операционной деятель-
ности, может быть недостаточным для защиты Если в отношении коммерческой информации
персональных данных. организация может пойти на определенные риски
нарушения конфиденциальности, то в отношении
Нередко организации идут на компромисс между персональных данных нарушение конфиденциаль-
повышением уровня защиты информации и возни- ности является неприемлемым.
кающими при этом издержками. Практически
18
Согласно результатам исследования 43% респон- зованным пользователям не могли быть ошибочно
дентов полагают, что существующая система предоставлены избыточные права доступа, а также
защиты исключает несанкционированный доступ относительно того, что злоупотребления со стороны
к персональным данным. Однако эти респонденты пользователей с расширенными полномочиями
не уверены, что использование с целью доступа к исключены.
персональным данным избыточных прав доступа,
которые могут быть тем не менее санкциониро- При этом, как показал международный обзор
ваны руководством, и расширенных полномочий, «Делойта», посвященный информационной
например полномочий администраторов информа- безопасности в сфере высоких технологий, теле-
ционных систем, исключено. коммуникаций, развлечений и СМИ6 по результатам
2008 года, наибольшая угроза для компаний сектора
Другие 33% респондентов затруднились ответить, исходит от них самих. В некоторых случаях сотруд-
в какой мере существующие средства ИБ обеспечи- ники непреднамеренно делятся конфиденциальной
вают защиту персональных данных. информацией, не осознавая потенциальных послед-
ствий. В конечном счете ответственность за такие
Таким образом, менее половины респондентов действия может быть возложена на компанию.
уверены в том, что существующие средства ИБ Это означает, что в первую очередь организациям
позволяют защитить персональные данные от следует позаботиться о защите персональных данных
несанкционированного доступа. К тому же отсут- от собственных сотрудников.
ствует уверенность относительно того, что автори-
6. Вы можете ознакомиться
с результатами
международного
обзора «Делойта»,
посвященного
информационной
безопасности в сфере
высоких технологий,
телекоммуникаций,
развлечений и СМИ, на
нашем интернет-сайте:
www.deloitte.ru.
Насколько, по вашему мнению, защищены персональные данные от несанкционированного
доступа/от случайного и/или умышленного доступа/от доступа сотрудников с избыточными
правами доступа к данным?
Существующая система защиты исключает возможность несанкционированного доступа, а также

возможность использования избыточных и расширенных прав для доступа к персональным данным 43%
Затрудняюсь ответить 33%
Существующая система защиты исключает возможность использования избыточных прав

для доступа к персональным данным
14%
Существующая система защиты исключает возможность несанкционированного доступа

к персональным данным
5%
Существующая система защиты исключает возможность несанкционированного доступа, а также

возможность использования избыточных прав для доступа к персональным данным
5%
Анализируя технические и организационные меры, которые ограничивают возможность произвольной

принимаемые респондентами с целью защиты выборки информации (формирование пользова-
коммерческой информации и персональных данных, тельских отчетов, поиск данных и прочее) — 81%.
мы обратили внимание на то, что в основном
респонденты полагаются на нижеследующие техни- Также широко используются такие базовые орга-
ческие решения и административные меры. низационные меры по защите информации, как
физическая защита резервных копий данных инфор-
• К широко используемым административным мационной системы (90%), мониторинг использо-
мерам можно отнести формализованную и вания Интернета и электронной почты сотрудниками
утвержденную политику ИБ (95%), соглашения (81%), ограничение возможности использования
о конфиденциальности и необходимые разделы внешних носителей данных, например USB накопи-
контрактов с контрагентами (95%), необходимые телей (71%) и регулярные проверки наличия уязви-
разделы должностных инструкций и трудовых мости ИБ (71%).
договоров (76%), формализованные и утверж-
денные правила пользования информационными В то же время проверка предоставляемых прав
системами (67%), формализованные и утверж- доступа к информационным системам на избыточ-
денные правила администрирования и разработки ность и ограничение доступа администраторов
информационных систем (57%). и разработчиков информационных систем к данным
• К широко используемым техническим решениям информационных систем осуществляется лишь
можно отнести межсетевые экраны (95%), приме- 57% респондентов, что вероятнее всего объясняет
нение информационных систем с возможностью неуверенность в отсутствии избыточных прав доступа
авторизации и аутентификации пользователей и возможных злоупотреблений расширенными
(90%), шифрование данных, передаваемых через полномочиями.
сеть» (62%).
• Отдельно хотелось бы отметить такое важное Регулярные проверки выполнения требований
техническое решение для ограничения доступа политики ИБ и правил пользования и администри-
к персональным данным со стороны авторизо- рования информационных систем выполняют только
ванных пользователей, как применение инфор- 52% респондентов. И это несмотря на то, что форма-
мационных систем с интерфейсами пользователя, лизованная и утвержденная политика ИБ разра-
20
ботана 95% респондентов, а формализованные Опрос показал, что организации не уделяют
и утвержденные правила пользования информаци- достаточного внимания мерам, направленным
онными системами и формализованные и утверж- на обучение, повышение квалификации и осве-
денные правила администрирования и разработки домленности сотрудников в области ИБ, так
информационных систем разработаны 67% и 57% регулярные тренинги по информационной безопас-
респондентов соответственно. Очевидно, что форма- ности для ИТ-специалистов и регулярные тренинги
лизованные политики и правила являются необхо- по информационной безопасности для сотрудников
димым, но не достаточным условием обеспечения бизнес-подразделений проводят лишь 33% и 24%
необходимого уровня информационной безопас- респондентов соответственно.
ности вообще и персональных данных в частности.
Какие технические и организационные меры по защите коммерческой информации, принятые

в вашей организации, обеспечивают полную или частичную защиту персональных данных?
Межсетевые экраны 95%
Соглашения о конфиденциальности и необходимые разделы контрактов с контрагентами 95%
Формализованная и утвержденная политика информационной безопасности 95%
Физическая защита резервных копий данных информационной системы 90%
Применение информационных систем с возможностью авторизации и аутентификации пользователей 90%
Мониторинг использования Интернета и электронной почты сотрудниками 81%

Применение информационных систем с интерфейсами пользователя, которые ограничивают возможность 81%
произвольной выборки информации (формирование пользовательских отчетов, поиск данных и прочее)
Необходимые разделы должностных инструкций и трудовых договоров 76%
Регулярные проверки наличия уязвимостей информационной безопасности 71%
Ограничение возможности использования внешних носителей данных (например, USB накопителей) 71%
Доступ к отчетам с персональными данными имеют только те сотрудники, которым это необходимо
для выполнения своих служебных обязанностей 71%
Формализованные и утвержденные правила пользования информационными системами 67%
Шифрование данных, передаваемых через сеть 62%

Ограничение доступа администраторов и разработчиков информационных систем к данным
информационных систем
57%
Проверка предоставляемых прав доступа к информационным системам на избыточность 57%

Формализованные и утвержденные правила администрирования и разработки
информационных систем 57%
Регулярные проверки выполнения требований политики информационной безопасности и правил
пользования и администрирования информационных систем 52%
Регулярные тренинги по информационной безопасности для ИТ специалистов 33%
Регулярные тренинги по информационной безопасности для сотрудников бизнес-подразделений 24%
Шифрование резервных копий 19%
Шифрование данных информационных систем 14%
Оценка
нормативной
базы
Подавляющее число респондентов признают

важность законодательного регулирования в области
персональных данных, однако считают многие
требования Закона неясными, избыточными
или спорными.
Принятие закона о персональных данных в России • Постановление Правительства РФ от 15 сентября
стало результатом ратификации Конвенции Совета 2008 года № 687 «Об утверждении Положения
Европы «О защите физических лиц при автома- об особенностях обработки персональных данных,
тизированной обработке персональных данных». осуществляемой без использования средств
Это подтверждает тот факт, что Россия движется автоматизации» — 76%;
в том же направлении, что и крупнейшие европей- • Федеральный закон «О лицензировании отдельных
ские страны. Проведенное исследование показало, видов деятельности» от 8 августа 2001 года
что подавляющее число респондентов (90%) № 128-ФЗ — 67%;
признают важность законодательного регулирования • Нормативно-методические документы ФСБ России,
в области персональных данных. ФСТЭК России — 57%;
• Постановление Правительства РФ от 30
Помимо самого Закона респонденты, принявшие апреля.2002 года № 290 «О лицензировании
участие в исследовании, перечислили следующие деятельности по технической защите конфиденци-
законодательные и нормативно-правовые акты, альной информации» — 52%;
используемые при подготовке организации к соответ- • ПКЗ-2005, «О сертификации средств защиты
ствию требованиям Закона: информации» — 52%;
• Конвенция Совета Европы «О защите физических
• Постановление Правительства РФ от 17 ноября лиц при автоматизированной обработке персо-
2007 года № 781 «Об утверждении положения нальных данных» — 29%.
об обеспечении безопасности персональных
данных при их обработке в информационных Следует отметить, что нормативно-методические
системах персональных данных» — 90%; документы ФСТЭК России не опубликованы и имеют
• Приказ ФСТЭК России, ФСБ России статус «Для служебного пользования» (ДСП).
и Мининформсвязи России от 13 февраля 2008 Возможно, этим объясняется, что их используют
года № 55/86/20 «Об утверждении порядка при подготовке организации к соответствию требо-
проведения классификации информационных ваниям Закона лишь чуть больше половины респон-
систем персональных данных» — 86%; дентов (57%).
22
Какими нормативными документами помимо Закона вы руководствуетесь при подготовке
организации к соответствию требованиям Закона?
Постановление Правительства РФ № 781 от 17.11.2007 «Об утверждении

положения об обеспечении безопасности персональных данных при их 90%
обработке в информационных системах персональных данных»
Совместный Приказ ФСТЭК, ФСБ и Мининформсвязи № 55/86/20

от 13.02.08 «Об утверждении порядка проведения классификации 86%
информационных систем персональных данных»
Постановление Правительства РФ № 687 от 15.09.2008 «Об утверждении

Положения об особенностях обработки персональных данных, 76%
осуществляемой без использования средств автоматизации»
ФЗ «О лицензировании отдельных видов деятельности» 67%
Нормативно-методические документы ФСБ, ФСТЭК России 57%
ПКЗ-2005, «О сертификации средств защиты информации» 52%
Положение «О лицензировании деятельности по технической защите

конфиденциальной информации» 52%
Европейская Конвенция «О защите физических лиц при

автоматизированной обработке персональных данных» 29%
Затрудняюсь ответить 5%
Несмотря на то, что в целом респонденты поддер- • Избыточные технические требования:
живают важность законодательного регулирования ––требования по защите от утечки инфор-
обработки персональных данных, только 9% респон- мации за счет побочного электромагнитного
дентов считают целесообразными все требования излучения и наводок (ПЭМИН), а также требо-
действующего Закона. При этом 81% респондентов вания в отношении акустической защиты
считают часть требований Закона избыточными и/ и виброзащиты;
или спорными. ––необходимость получения лицензий ФСТЭК
России в области технической защиты конфиден-
Комментарии респондентов относительно избы- циальной информации (ТЗКИ);
точных и/или спорных требований в Законе7 ––необходимость использования только сертифици-
касались в основном следующих областей: рованных средств защиты персональных данных,
в то время как для большинства наиболее распро-
• Спорные требования: страненных коммерческих операционных систем,
––слишком сжатые сроки реакции на возражения систем управления базами данных и пр. сертифи-
субъектов; цированные средства зашиты отсутствуют;
––возможность субъекта персональных данных ––регистрация всех обращений к персональным
отозвать согласие на обработку своих персо- данным с детальным описанием времени,
нальных данных; причины обращения и т. д.
––несбалансированность прав и обязанностей
субъекта и оператора персональных данных: Кроме того, некоторые респонденты были озабочены
Закон определяет права субъекта персональных необходимостью выполнения требований, осно-
данных и минимум обязанностей для него, ванных на опыте защиты государственной тайны,
в то время как для оператора определен целый и склонялись к требованиям, формируемым с учетом
ряд обязанностей и минимум прав. экономической целесообразности на основании
международного опыта и национальных стандартов
в области информационной безопасности.
7. Комментарии
респондентов касались
не только самого
актов.
24
Считаете ли вы целесообразными все требования Закона, или Закон содержит избыточные
и/или спорные требования?
10%
Нет, часть требований избыточны и/или спорны
9%
Да, все требования целесообразны
81%
Так, 85% респондентов считают, что Закон в его • Неточное определение требований:
нынешней редакции содержит неясные или недо- ––оператор должен убедиться в том,
статочно детализированные требования и необхо- что иностранным государством, на территорию
димы дополнительные разъяснительные документы которого осуществляется передача персональных
и отраслевые стандарты. Комментарии респондентов данных, обеспечивается адекватная защита
относительно неясных или недостаточно детализи- прав субъектов персональных данных до начала
рованных требований в Законе8 касались в основном осуществления трансграничной передачи
следующих областей: персональных данных, однако каковы критерии
«адекватной защиты» и как необходимо докумен-
• Неточное определение терминов: тировать проверку, не указано;
––недостаточно четко определены персональные ––необходимо более детально определить порядок
данные как объект защиты, отсутствует исчерпы- классификации информационных систем персо-
вающий и однозначный перечень данных, относя- нальных данных;
щихся к персональным данным; ––необходима разработка отраслевых стандартов
––некоторые положения Закона ссылаются по защите персональных данных;
на неопределенные понятия (например, «медико- ––отсутствуют описания методик осуществления
социальные услуги»); контроля и надзора за обработкой персональных
––недостаточно четко определено понятие данных со стороны уполномоченных органов.
«средство автоматизации» обработки персо-
нальных данных и применимость этого понятия к
информационной системе персональных данных.
не только самого
актов.
Достаточна ли нормативная база в области защиты и обработки персональных данных или,
по вашему мнению, Закон содержит неясные или недостаточно детализированные требования?
5%
Нет, требуются дополнительные
9%
разъяснительные документы
Да, нормативная база достаточна
86%
Почти половина респондентов (43%) отметили • Закон о банках и банковской деятельности: может
несогласованность и возможные противоречия ли выполнение организацией требований о нераз-
между требованиями Закона9 и других действующих глашении банковской тайны служить подтверж-
федеральных законов, отраслевого законодательства дением выполнения требований по защите
и стандартов, а также прочих регламентирующих персональных данных.
документов. Только 9% респондентов считают, • Стандарт Банка России СТО БР ИББС-1.0-2008
что противоречий нет, в то время как 48% респон- «Обеспечение информационной безопасности
дентов затруднились ответить. Комментарии респон- организаций банковской системы Российской
дентов относительно этих противоречий в Законе Федерации. Общие положения»: может ли выпол-
касались в основном нижеследующих областей нение организацией требований стандарта служить
подтверждением того, что организацией приняты
• В соответствии с пунктом 3 Постановления необходимые меры по обеспечению защиты персо-
Правительства РФ от 17 ноября 2007 года № 781 нальных данных.
методы и способы защиты информации в информа- • Действующие формы платежных документов
ционных системах устанавливаются ФСТЭК России не предусматривают письменного согласия субъекта
и ФСБ России в пределах их полномочий. Однако на обработку его персональных данных.
часть нормативно-методических документов ФСТЭК • Субъект персональных данных имеет право
России и ФСБ России не опубликована и имеет на получение информации, касающейся обработки
статус «Для служебного пользования», что ограни- его персональных данных, в том числе содер-
чивает доступ к нормативной базе. жащей сведения о лицах, которые имеют доступ
• Закон о коммерческой тайне: возможно ли исполь- к персональным данным или которым может быть
зование режима коммерческой тайны для защиты, предоставлен такой доступ. Однако предоставление
в том числе, и персональных данных. такой информации может нарушать права этих лиц,
и, следовательно, в этом случае право субъекта
персональных данных на доступ к своим персо-
не только самого нальным данным должно быть ограничено.
актов
26
Есть ли примеры противоречий между требованиями Закона и требованиями отраслевого
законодательства (например, телекоммуникационного или банковского), условиями лицензий
и прочими регламентирующими документами?
Да
Нет
48% 43%
9%
Закон предусматривает осуществление контроля и ведение реестра операторов персональных

и надзора за обработкой персональных данных данных. Для реализации своих полномочий
со стороны уполномоченного органа по защите прав Роскомнадзор имеет право запрашивать и безвоз-
субъектов персональных данных. Таким органом мездно получать у физических или юридических лиц
является орган исполнительной власти, осущест- необходимую информацию.
вляющий функции по контролю и надзору в сфере
информационных технологий и связи, — Федеральная Ответы респондентов показывают, что в 71% органи-
служба по надзору в сфере связи, информаци- заций, принявших участие в исследовании, проверки
онных технологий и массовых коммуникаций (далее со стороны Роскомнадзора не проводились. Только
также — Роскомнадзор). 15% респондентов столкнулись с проверками, и лишь
в 5% из них были выявлены нарушения, имеющие
К основным обязанностям Роскомнадзора относятся юридический характер и связанные с несоответствием
организация защиты прав субъектов персональных отдельных регламентирующих документов требова-
данных, рассмотрение жалоб и обращений ниям Закона (по результатам проверки были даны
граждан или юридических лиц по вопросам, предписания на устранение недостатков).
связанным с обработкой персональных данных,
Еще 14% респондентов затруднились ответить
на вопрос относительно проверок со стороны регули-
рующих органов и выявленных нарушений.
Были ли выявлены нарушения требований Закона в ходе плановых и/или внеплановых проверок,
проводимых регулирующими органами?
5%
14%
10%
Да
Нет
Проверки не проводились
71%
28
Закон вступил в силу 25 января 2007 года. Таким Среди респондентов, принявших участие в исследо-
образом, на протяжении уже почти полутора лет вании, большая часть (62%) не сталкивалась с обра-
субъекты персональных данных имеют право доступа щениями граждан относительно их персональных
к своим персональным данным. В соответствии с данных. Вероятнее всего, такая ситуация в первую
Законом это означает, что каждый гражданин имеет очередь связана с низкой осведомленностью
право на получение сведений об операторе персо- граждан с положениями Закона и своими правами,
нальных данных, о месте его нахождения, о наличии предусмотренными Законом, а также низкой
у оператора своих персональных данных, а также активностью граждан.
на ознакомление с такими персональными данными.
Субъект персональных данных вправе требовать В то же время 19% респондентов уже столкну-
от оператора уточнения своих персональных данных, лись с такими обращениями и еще 19% респон-
их блокирования или уничтожения в случае, если дентов затруднились ответить. Обращения имели
персональные данные являются неполными, уста- место в связаны с запросами на предоставление
ревшими, недостоверными, незаконно полученными персональных данных, обрабатываемых опера-
или не являются необходимыми для заявленной цели тором или сторонними организациями, например
обработки. Национальным бюро кредитных историй. Также
респонденты сталкивались с запросами на удаление
персональных данных из информационных систем.
Сталкивалась ли ваша организация с обращениями субъектов персональных данных относительно

предоставления и/или удаления персональных данных?
19%
Да
Нет
19%
62%
Мы ожидаем, что по мере того, как граждане будут почте и средствами традиционной почтовой
лучше понимать свои права, количество обращений корреспонденции, звонки рекламного характера
будет расти. Каждого, кто вынужден передавать свои на мобильные и стационарные телефоны, инциденты
персональные данные государственным и коммерче- с утечкой номеров мобильных телефонов и банков-
ским организациям, все в большей степени беспокоят ских кредитных карт, регистрационной информации
незатребованные ими сообщения по электронной на автотранспортные средства и т. д.
Влияние
на основную
деятельность
Большинство респондентов не видят в выполнении

требований Закона прямой практической пользы
для своих клиентов и опасаются повышения
стоимости предоставляемых услуг.
В соответствии с Законом организации, обра- • Технические аспекты:

батывающие персональные данные, должны ––дополнительные инвестиции в ИТ-инфраструктуру
предоставлять субъекту персональных данных и информационную безопасность — 100%;
информацию о последующей обработке соби- ––доработка существующих информационных
раемых данных, принимать необходимые органи- систем — 95%;
зационные и технические меры для защиты этих ––сертификация систем и внедрение сертифициро-
данных, при обращении сообщать информацию ванных средств защиты — 90%;
об их наличии и предоставлять возможность озна- ––снижение производительности информационных
комления с ними. систем — 81%;
––внедрение средств криптографии — 71%.
Выполняя требования Закона, респонденты,
принявшие участие в исследовании, отмечали Также респонденты отмечали проблемы с отсут-
следующие задачи и трудности, возникновение ствием сертифицированных средств защиты для
которых они ожидают или с которыми они уже программно-технических комплексов, используемых
столкнулись: в их организациях.
• Организационные аспекты:
––рост числа проверок со стороны
регуляторов — 95%;
––организационные изменения и изменения
бизнес-процессов — 71%;
––дополнительные запросы клиентов по вопросам
использования персональных данных — 67%;
––увеличение числа персонала для выполнения
требований Закона — 62%;
––противоречие требований Закона действующей
нормативной базе — 52%
30
Выполнение дополнительных функций, реализация повысится, а четверть участников исследования
организационных и технических мер по защите (24%) отметили, что стоимость услуг не повысится.
персональной информации, а также решение пере- Это может означать снижение прибыльности
численных выше трудностей не может не оказать из-за дополнительных расходов на технические
влияния на основную деятельность организаций. меры и персонал. Еще 29% респондентов не смогли
Почти половина респондентов (48%) считают, оценить изменение стоимости услуг в результате
что в результате выполнения требований Закона выполнения требований Закона.
стоимость услуг, оказываемых их организацией,
Как, по вашему мнению, изменится стоимость услуг, оказываемых вашей организацией,

в результате выполнения требований Закона?
Не изменится
28% 24%
Повысится
48%
Интересные ответы были получены на вопрос Респонденты, ожидающие увеличения стоимости
об изменении уровня обслуживания клиентов услуг их организаций, считают, что в результате
в результате выполнения требований Закона. выполнения требований Закона уровень обслужи-
Несмотря на то, что подавляющее число участников вания не повысится. Таким образом, большинство
исследования осознает важность законодательного респондентов не видят прямой практической пользы
регулирования обработки персональных данных, для своих клиентов в выполнении требований Закона.
только 5% респондентов считают, что выполнение
требований Закона повысит уровень обслужи-
вания клиентов. Так, 52% респондентов считают,
что уровень обслуживания клиентов не изменится.
А почти четверть (24%) и вовсе ожидают снижения
уровня обслуживания клиентов.
Как, по вашему мнению, изменится уровень обслуживания клиентов и/или привлекательность

услуг вашей организации для клиентов в результате выполнения требований Закона?
5%
19%
Повысится
24%
Понизится
52%
32
Подавляющее большинство респондентов (71%) увеличиться. К этим двум группам относится подавля-
не планирует вносить изменения в объем собираемых ющее большинство банков. В то время как большая
и обрабатываемых персональных данных в результате часть телекоммуникационных компаний относится
регулирования указанного вида деятельности. А 10% к группе из 19% респондентов, рассматривающих
респондентов считают, что количество собираемых возможность сокращения объема собираемых
и обрабатываемых персональных данных может даже и обрабатываемых персональных данных.
Как, по вашему мнению, изменится объем собираемых и обрабатываемых вашей организацией

персональных данных в рамках выполнения требований Закона и/или сокращения затрат?
10%
Увеличится
Уменьшится
19%
71%
Текущие
показатели
Выполнение требований Закона рассматривается

на данный момент скорее как задача службы
информационной безопасности, а не всей
организации в целом, что делает степень
готовности недостаточно высокой.
В соответствии с требованиями Закона оператор 38% респондентов пока не направляли уведомления

до начала обработки персональных данных обязан о намерении осуществлять обработку персональных
уведомить уполномоченный орган по защите данных. Это может объясняться тем, что оператор
прав субъектов персональных данных о своем вправе осуществлять обработку следующих персо-
намерении проводить обработку персональных нальных данных10 без уведомления уполномочен-
данных. Операторы, осуществляющие обработку ного органа:
персональных данных до дня вступления в силу
настоящего Федерального закона и продолжающие • сведений, относящихся к субъектам персональных
осуществлять такую обработку после дня его данных, которых связывают с оператором трудовые
вступления в силу, обязаны направить в уполно- отношения;
моченный орган по защите прав субъектов персо- • сведений, полученных оператором в связи с заклю-
нальных данных уведомление не позднее 1 января чением договора, стороной которого является
2008 года субъект персональных данных, если персональные
данные не распространяются, а также не предо-
38% респондентов направили уведомления ставляются третьим лицам без согласия субъекта
о намерении осуществлять обработку персо- персональных данных и используются опера-
нальных данных. Еще 14% планируют направить тором исключительно для исполнения указанного
уведомление. договора и заключения договоров с субъектом
персональных данных.
Направлено ли вашей организацией уведомление о том, что она является Следует отметить, что под обработкой персо-
оператором персональных данных? нальных данных в Законе подразумеваются действия
(операции) с персональными данными, включая
сбор, систематизацию, накопление, хранение,
10% уточнение (обновление, изменение), использование,
распространение (в том числе передачу), обезличи-
вание, блокирование и уничтожение.
Да
38%
В процессе сбора
данных для
уведомления
38%
Нет
Затрудняюсь 10. Закон определяет также ряд других ситуаций, предусма-

14% ответить тривающих возможность обработки персональных
данных без уведомления уполномоченного органа
по защите прав субъектов персональных данных.
34
Вне зависимости от наличия или отсутствия необ- • разработана программа по соответствию требова-
ходимости уведомлять уполномоченный орган ниям законодательства в области защиты персо-
по защите прав субъектов персональных данных нальных данных — 19%;
о своем намерении осуществлять обработку персо- • в бизнес-процессы компании внесены организа-
нальных данных организация должна провести ционные изменения с учетом требований зако-
ряд мероприятий, направленных на выполнение нодательства в области защиты персональных
требований Закона. Судя по ответам респондентов, данных — 14%;
к наиболее распространенным реализованным • проведено обучение и информирование сотруд-
мероприятиям относятся мероприятия, связанные ников в области обработки и защиты персональных
с обеспечением безопасности информационных данных — 10%.
систем персональных данных:
Внутренние регламентирующие документы орга-
• выявлены все основные информационные системы низаций, а также документы, регламентирующие
персональных данных — 76%; отношения с сотрудниками, клиентами, постав-
• внедрены базовые средства защиты персональных щиками и т. д., проанализированы на предмет
данных — 57%; соответствия требованиям Закона только 29%
• информационные системы проанализированы респондентов, а необходимые доработки
на предмет определения работающего с ними по результатам анализа регламентирующих доку-
круга лиц — 43%. ментов выполнили только 19% респондентов.
Формализованные регламенты в области обеспе-
Однако классификацию информационных систем чения защиты персональных данных, методов
персональных данных в соответствии с порядком, их сбора и обработки, а также их уничтожения
установленным совместным Приказом ФСТЭК разработаны и внедрены только у 5% респондентов.
России, ФСБ России и Мининформсвязи России
от 13 февраля 2008 года № 55/86/20, провели Ни одна из организаций, принявших участие
только 29% респондентов. Лишь 14% респондентов в исследовании, на данный момент не закончила
описали модель угроз для каждой конкретной работы по доработке/замене/проведению оценки
информационной системы персональных данных соответствия ИСПД с учетом требований Закона
и средства защиты от них, разработали внутренние и работы по внедрению формализованного
нормативные документы (такие как инструкции процесса для обработки обращений субъектов
о порядке обработки ПД, регламенты доступа персональных данных.
в зону обработки ПД и т. д.). Это свидетельствует
о том, что внедренные средства защиты персо- Данные респондентами ответы демонстрируют,
нальных данных могут оказаться недостаточными что выполнение требований Закона рассматривается
либо избыточными. в настоящее время скорее как задача службы ИБ,
а не организации в целом — только 14% респон-
Организационные мероприятия реализованы менее дентов отметили, что запланированные мероприятия
чем 30% респондентов: по защите персональных данных согласованы
с инициативами бизнес-подразделений.
• все бизнес-процессы компании проанализи-
рованы на предмет обработки персональных Следует отметить, что подавляющее число респон-
данных — 24%; дентов, еще не успевших реализовать те или иные
мероприятия, направленные на выполнение требо-
вания Закона, тем не менее не считают их непри-
менимыми или избыточными и запланировали
их осуществление на будущее.
Какие из следующих мероприятий по выполнению требований законодательства в области защиты
персональных данных реализованы/планируется реализовать в вашей организации?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
10% 20% 30% 40% 50% 60% 70% 80% 90%
Реализовано Планируется Не требуется Предпочитаю не отвечать
36
1. Внедрен формализованный процесс для разре- 12. В бизнес-процессы компании внесены орга-
шения претензий по вопросам использования низационные изменения с учетом требований
персональных данных. законодательства в области защиты персональных
данных.
2. Информационные системы доработаны/
заменены/ проведена оценка соответствия с 13. Разработана программа по соответствию требова-
учетом требований законодательства в области ниям законодательства в области защиты персо-
защиты персональных данных. нальных данных.
3. Устранение недостатков соответствия требова- 14. Внутренние регламентирующие документы

ниям Закона о персональных данных. компании, а также документы, регламенти-
рующие отношения с сотрудниками, клиентами,
4. Разработаны и внедрены формализованные поставщиками и т.д., доработаны в соответствии с
регламенты в области обеспечения защиты персо- требованиями законодательства в области защиты
нальных данных, методов их сбора и обработки, а персональных данных.
также их уничтожения.
15. Все бизнес-процессы компании проанализи-
5. Проведено обновление технических средств рованы на предмет обработки персональных
защиты и инфраструктуры информационной данных.
безопасности.
16. Обновлена стратегия информационной
6. Проведены организационные изменения. безопасности.
7. Регулирующие органы поставлены в известность о 17. Внутренние регламентирующие документы

наличии ИСПД и о присвоенном им классе. компании, а также документы, регламенти-
рующие отношения с сотрудниками, клиентами,
8. Проведены тренинги и информирование сотруд- поставщиками и т.д., проанализированы на
ников в области обработки и защиты персо- предмет соответствия требованиям законодатель-
нальных данных. ства в области защиты персональных данных.
9. Запланировано взаимодействие с регулирую- 18. Проведена классификация ИСПД в соответствии

щими и законодательными органами для совер- с установленным порядком (Совместный Приказ
шенствования нормативной базы. ФСТЭК, ФСБ и Мининформсвязи № 55/86/20 от
13.02.08).
10. Запланированные инициативы по защите персо-
нальных данных согласованы с инициативами 19. Информационные системы компании проана-
бизнес-подразделений. лизированы на предмет определения круга лиц,
работающих с ИСПД.
11. Создана (описана) модель угроз для каждой
конкретной ИСПД, описаны средства защиты, 20. Внедрены базовые средства защиты, предна-
разработаны внутренние нормативные значенные для обеспечения безопасности персо-
документы (такие как инструкции о порядке нальных данных.
обработки ПД, регламенты доступа в зону
обработки ПД и т. д.). 21. Выявлены все основные информационные
системы персональных данных (ИСПД).
Планы
Недостаточное количество специалистов, а также

существенные финансовые и временные затраты
делают маловероятной готовность большинства
организаций к выполнению требований Закона
до 1 января 2010 года.
С учетом невысокой степени готовности к выпол- нению требованияй Закона. К этой группе относятся
нению требований Закона на настоящий момент телекоммуникационные компании и российские
и внушительного перечня мероприятий, которые подразделения некоторых международных банков.
планируется провести большинством респон- Еще 14% респондентов отметили, что необходимых
дентов, на первый план выходит вопрос наличия специалистов нет. Однако количество реализованных
достаточного количества необходимых специали- мероприятий, направленных на выполнение требо-
стов. При этом 24% респондентов считают, что их ваний Закона не зависит от наличия достаточного
организации располагает достаточным количе- количества специалистов и практически все орга-
ством специалистов, обладающих необходимыми низации планируют прибегнуть также к услугам
знаниями и квалификацией для подготовки к выпол- профессиональных консультантов.
Какие из следующих мероприятий по выполнению требований законодательства в области защиты

персональных данных реализованы/планируется реализовать в вашей организации?
Почти половина респондентов (48%) планирует

воспользоваться исключительно услугами профес-
14%
сиональных консультантов для подготовки
24%
к выполнению требований Закона. Еще 14%
Да
респондентов планируют воспользоваться услугами
профессиональных консультантов для помощи
Специалисты есть,
собственным специалистам.
но их недостаточно
Около 20% респондентов планируют различным

Нет
образом комбинировать услуги профессиональных
консультантов, прием на работу дополнительных
специалистов, возможности собственных специали-
стов и услуги аутсорсинга для обработки персо-
62%
нальных данных. Из них только 5% планируют
подготовиться к выполнению требований Закона
исключительно силами собственных специалистов.
38
Реализация мероприятий, которые планиру- Чем выше размер необходимых инвестиций,
ется провести в организациях респондентов, тем меньше уверенность респондентов в том,
потребует не только дополнительных специалистов, что стоимость услуг может остаться без изменений.
но и финансовых инвестиций. Больше трети респон- Респонденты, которые оценивают размер инвестиций
дентов (33%) затруднились оценить необходимые в сумму более 50 млн рублей считают, что стоимость
инвестиции, а большинство остальных респон- услуг повысится, или затруднились ответить.
дентов оценили размер необходимых инвестиций
в диапазоне от 1 млн до 100 млн рублей: В ответах респондентов о необходимых инвестициях
не удалось выявить отраслевых закономерностей
• от 50 млн до 100 млн рублей — 14%; или закономерностей, связанных с объемом обраба-
• от 10 млн до 50 млн рублей — 29%; тываемых персональных данных. Размер инвестиций
• от 1 млн до 10 млн рублей — 19%. в большей степени зависел от количества информа-
ционных систем персональных данных. Так органи-
При этом 5% респондентов оценили размер необхо- зации, использующие более пяти информационных
димых инвестиций в сумму более 100 млн рублей. систем персональных данных, оценивают размер
необходимых инвестиций не ниже 10 млн рублей.
Как вы оцениваете размер необходимых инвестиций для выполнения требований Закона

в вашей организации (в рублях)?
19%
От 1 до 10 млн
33%
Более 100 млн

29%
5%
14%
Несмотря на значительный размер сумм необхо- необходимых инвестиций в диапозоне от 1 млн
димых инвестиций, направленных на обеспечение до 10 млн рублей, не резервировали существенных
соответствия требованиям Закона, в бюджете сумм в бюджете 2009 года или затруднились
организаций на 2009 год для выполнения требо- их оценить.
ваний Закона было зарезервировано от 1млн
до 10 млн рублей у 14% респондентов и от 100 тыс. Существенный разрыв между объемом необходимых
до 1 млн рублей у 29% респондентов. Остальные инвестиций и бюджетом 2009 года на обеспечение
респонденты затруднились ответить, либо суммы, выполнения требований Закона может свидетель-
зарезервированные в бюджете, были несуще- ствовать о том, что полная готовность организаций
ственными. Респонденты, оценивающие размер к 1 января 2010 года маловероятна.
Какой бюджет запланирован на 2009 год для обеспечения выполнения требований Закона
в вашей организации (в рублях)?
14%
Менее 10 тыс.
От 100 тыс. до 1 млн

43%
29%
14%
40
Низкая вероятность того, что организации будут
полностью готовы к выполнению требований Закона
к 1 января 2010 года, дополнительно подтверждается
тем, что текущая степень готовности недостаточно
высокая, а необходимое время для выполнения
требований Закона подавляющим большинством
респондентов (76%) оценивается в диапазоне
от девяти месяцев до более чем двух лет. Из них 48%
респондентов оценивает время, необходимое для
выполнения требований Закона, от 12 до 24 месяцев.
Сколько времени по вашим оценкам может занять выполнение требований Закона

в вашей организации?
5% 5%
3—6 месяцев
9%
14%
9 —12 месяцев
19%
Более 24 месяцев
48% Затрудняюсь ответить
Организация, проведение
и оценка результатов
исследования
Исследование было построено таким образом, После окончательного оформления и согласования
чтобы определить степень готовности органи- анкеты с участниками исследовательской группы ее
заций к выполнению требований Федерального электронная версия была направлена организациям,
закона «О персональных данных» и представить принявшим участие в исследовании. Данные, полу-
результаты данной оценки. Особое внимание было ченные из заполненных анкет, были агрегированы
уделено не только оценке готовности организаций, и обезличены для целей подготовки отчета.
но и выявлению тех задач и трудностей, возник-
новение которых они ожидают или с которыми Отвечая на некоторые вопросы, респонденты могли
им уже пришлось столкнуться, а также опреде- выбрать несколько вариантов ответа. В подобных
ление ресурсов, необходимых для устранения случа сумма значений может превышать 100%.
этих трудностей.
В рамках подготовки отчета проводился анализ
Процесс сбора данных подразумевал получение Федерального закона «О персональных данных»
количественной и качественной информации. и связанных с ним законодательных и нормативно-
Сбор данных проводился в июле 2009 года посред- правовых актов. Однако результаты этого анализа,
ством заполнения анкеты. Анкета была состав- представленные в отчете, нельзя считать исчерпы-
лена из вопросов, разработанных специалистами вающими, поскольку как таковая задача изучения
Департамента консалтинга компании «Делойт», и анализа всех положений Закона и их применения
СНГ. Вопросы отбирались с учетом возможности на практике в рамках настоящего отчета нами
отражения наиболее важных тем, связанных не ставилась.
с оценкой готовности организаций к выполнению
требований Федерального закона «О персональных
данных». Все вопросы были проверены на предмет
применимости, своевременности и значимости.
42
Законодательные
и нормативно-правовые
акты
Конвенция Совета Европы «О защите физических лиц при http://www.rsoc.ru/.cmsc/upload/
автоматизированной обработке персональных данных» (Страсбург, 28 documents/200809051630215I.rtf
января 1981 года, с изменениями от 15 июня 1999 года)
Федеральный закон от 19 декабря 2005 года № 160-ФЗ «О http://www.rsoc.ru/.cmsc/upload/

ратификации Конвенции Совета Европы о защите физических лиц при docs/20080905163037HM.rtf
автоматизированной обработке персональных данных»
Федеральный закон Российской Федерации от 27 июля 2006 года № http://www.rg.ru/2006/07/29/personaljnye-dan-

152-ФЗ «О персональных данных» nye-dok.html
Постановление Правительства Российской Федерации от 17 ноября 2007 http://www.rg.ru/2007/11/21/personalnye-dan-

года № 781 «Об утверждении Положения об обеспечении безопасности nye-dok.html
персональных данных при их обработке в информационных системах
персональных данных»
Приказ Федеральной службы по техническому и экспортному контролю, http://www.rg.ru/2008/04/12/informaciya-doc.html

Федеральной службы безопасности Российской Федерации, Министерства
информационных технологий и связи Российской Федерации от 13
февраля 2008 года № 55/86/20 «Об утверждении Порядка проведения
классификации информационных систем персональных данных»
Постановление Правительства Российской Федерации от 15 сентября 2008 http://www.rg.ru/2008/09/24/dannye-obrabot-

года № 687 «Об утверждении Положения об особенностях обработки ka-dok.html
персональных данных, осуществляемой без использования средств
автоматизации»
Трудовой кодекс Российской Федерации от 30 декабря 2001 года № http://www.rg.ru/oficial/doc/codexes/trud/14.shtm

197-ФЗ. Часть третья, Раздел III «Трудовой договор», Глава 14 «Защита
персональных данных работника»
Постановление Правительства Российской Федерации от 6 июля 2008 http://www.rg.ru/2008/07/11/trebovaniya-dok.html

года № 512 «Об утверждении требований к материальным носителям
биометрических персональных данных и технологиям хранения таких
данных вне информационных систем персональных данных»
Перечень нормативно-методических документов ФСТЭК России в области http://www.rsoc.ru/main/directions/874/934.shtml

персональных данных
Методические рекомендации по обеспечению с помощью криптосредств http://www.rsoc.ru/.cmsc/upload/

безопасности персональных данных при их обработке в информационных docs/20081218101410o1.doc
системах персональных данных с использованием средств автоматизации
Типовые требования по организации и обеспечению функционирования http://www.rsoc.ru/.cmsc/upload/

шифровальных (криптографических) средств, предназначенных documents/20081218101535n8.doc
для защиты информации, не содержащей сведений, составляющих
государственную тайну в случае их использования для обеспечения
безопасности персональных данных при их обработке в информационных
системах персональных данных
Федеральная служба по надзору в сфере связи, информационных http://www.rsoc.ru

технологий и массовых коммуникаций
Отчет о деятельности Уполномоченного органа по защите прав субъектов http://www.rsoc.ru/.cmsc/upload/

персональных данных за 2008 год documents/20090529113450vC.doc
Наши последние
публикации
«Международное исследование в области информационной безопасности http://www.deloitte.com/dtt/article/0,1002,cid%25

для компаний сектора высоких технологий, телекоммуникаций, развлечений 3D262848,00.html
и СМИ за 2009 год»
«Основные направления развития отрасли высоких технологий в 2009 году» http://www.deloitte.com/dtt/cda/doc/content/

dtt_Technology_Predictions_2009_ru.pdf
«Основные направления развития отрасли телекоммуникаций в 2009 году» http://www.deloitte.com/dtt/cda/doc/content/
dtt_tele_2009_ru.pdf
«Основные направления развития отрасли развлечений и СМИ в 2009 году» http://www.deloitte.com/dtt/cda/doc/content/
dtt_Media_Predictions_2009_ru.pdf
«Освещая путь: международный опрос руководителей компаний, входящих http://www.deloitte.com/dtt/article/0,1002,cid%25
в рейтинг «500 самых быстрорастущих технологических компаний» за 2008 3D237637,00.html
год»
«Устойчивость в нестабильном мире. Новые отношения с клиентами» http://www.deloitte.com/view/en_US/us/article/

bf67dbc9ffe42210VgnVCM100000ba42f00aRCRD.
htm
«Новый рынок финансовых услуг. Возвращая утраченные позиции» http://www.deloitte.com/view/en_US/us/article/
f914cb51ed812210VgnVCM100000ba42f00aRCRD.
htm?id=gfsi-list-rp
«Обзор отраслей промышленности за 2009 год. Банковские услуги и рынок http://www.deloitte.com/dtt/
ценных бумаг: новые времена – новые возможности» article/0,1002,cid=248072,00.html?id=gfsi-list-rp
«Льготное налогообложение. Реализация налоговой стратегии http://www.deloitte.com/view/en_GX/

на международном рынке финансовых услуг» global/industries/financial-services/article/
f5c7586731101210VgnVCM100000ba42f00aRCRD.
htm?id=gfsi-list-rp
44
Благодарность
Мы хотели бы поблагодарить представителей всех

организаций, которые приняли участие
в проведении нашего исследования. Без такого
участия и интереса с вашей стороны мы не смогли бы
публиковать исследования, подобные этому.
Мы выражаем огромную благодарность за то время
и усилия, которые наши респонденты затратили
на участие в данном проекте.
Контакты
Лидеры отраслевых направлений Департамент консалтинга Департамент развития бренда и бизнеса
Максим Любомудров Дмитрий Яковенко Виктор Капилевич

Заместитель управляющего партнера Партнер Ведущий специалист
Департамент консультирования по налогоо- +7 (495) 580 97 62 Исследования рынков
бложению и праву dyakovenko@deloitte.ru +7 (495) 787 06 00, доб. 8210
Руководитель Группы vkapilevich@deloitte.ru
по предоставлению услуг Денис Липов
финансовым институтам Старший менеджер Татьяна Чекулаева
+7 (495) 787 06 69 Группа по управлению рисками Старший координатор
mlubomudrov@deloitte.ru организаций по развитию отраслевого направления
Высокие технологии, телекоммуникации Высокие технологии, телекоммуникации,
Ольга Табакова развлечения и СМИ развлечения и СМИ
Партнер +7 (495) 787 06 00, доб. 3071 +7 (495) 787 06 00, доб. 1877
Департамент аудита dlipov@deloitte.ru tchekulaeva@deloitte.ru
Руководитель Группы
по предоставлению услуг Рафаиль Мифтахов Ксения Макарова
компаниям сферы высоких технологий, Старший менеджер Координатор
телекоммуникаций, развлечений и СМИ Банки и финансовые институты по развитию отраслевого направления
+7 (495) 787 06 63 +7 (495) 787 06 00, доб. 1400 Финансовые институты
otabakova@deloitte.ru rmiftakhov@deloitte.ru +7 (495) 787 06 00, доб. 1721
ksmakarova@deloitte.ru
46
О «Делойте»
Международная репутация «Делойта» На протяжении более 18 лет мы способствуем

Международное объединение компаний «Делойт» успешной работе своих клиентов. За это время
предлагает клиентам весь спектр услуг в области мы реализовали целый ряд проектов, в рамках
аудита, управления рисками организаций, консал- которых мы адаптировали международные методо-
тинга, корпоративных финансов, консультирования логии к реалиям российского бизнеса и накопили
в области налогообложения и права. Мы распола- серьезный опыт работы с местными компаниями.
гаем обширными международными ресурсами
и опытом, что позволяет нам обеспечивать макси- Понимание особенностей рынка СНГ в сочетании
мально высокое качество услуг, предоставляемых с опытом успешной работы ведущей междуна-
международным и местным предприятиям. родной компании позволяет нам использовать
уникальные знания и методологии для удовлетво-
Нашими клиентами являются более 80% круп- рения запросов клиентов. Совместная работа отече-
нейших компаний мира, а также крупные нацио- ственных и иностранных специалистов позволяет
нальные предприятия, государственные органы, нам учитывать специфику местных условий
компании, играющие важную роль на рынках и успешно решать стоящие перед нами задачи
отдельных стран, и быстро развивающиеся междуна- в соответствии с высочайшими международными
родные компании. стандартами качества.
В офисах наших компаний более чем в 140 странах В настоящее время в странах СНГ «Делойт» пред-
мира работают свыше 165 000 специалистов. ставлен 14 офисами: в Москве, Санкт-Петербурге
Наши сотрудники, имеющие большой междуна- и Южно-Сахалинске (Россия), Киеве (Украина),
родный опыт, предоставляют услуги, отвечающие Минске (Беларусь), Тбилиси (Грузия),
единым высоким стандартам качества вне зависи- Баку (Азербайджан), Актау, Алматы, Астане,
мости от того, где осуществляют свою деятельность Атырау (Казахстан), Бишкеке (Кыргызстан),
клиенты фирмы. «Делойт» обслуживает крупнейшие Ташкенте (Узбекистан) и Душанбе (Таджикистан).
компании мира, национальные предприятия, госу-
дарственные органы, компании, играющие важную Группа по предоставлению услуг финансовым
роль на рынках отдельных стран, и быстроразви- институтам
вающиеся международные частные компании. Группа компании «Делойт», СНГ по предоставлению
Глобальный масштаб деятельности международного услуг финансовым институтам на протяжении
объединения фирм «Делойт» позволит вам получить нескольких лет остается самой крупной и динамично
доступ к нашим ресурсам и опыту отраслевых специ- развивающейся в международной сети компаний
алистов и технических экспертов, имеющих в своем «Делойт». Основной задачей Группы является
распоряжении передовые технологии и способных разработка эффективных отраслевых решений
предоставлять услуги самого высокого качества. и инициатив, которые будут способствовать реали-
зации задач, стоящих перед нашими клиентами.
Компания «Делойт» в России и СНГ
В офисах компании «Делойт», СНГ работают около В своей работе мы не только используем знания
3000 сотрудников, специализирующихся на обслу- и опыт местных специалистов для оказания
живании предприятий самых разных отраслей, услуг крупнейшим финансовым организациям,
включая финансы, телекоммуникации, энергетику но и учитываем новации сотрудников компаний
и добывающую промышленность, розничную международной сети «Делойт», работающих
торговлю и многие другие. Богатый опыт и профес- в разных странах мира, а также примеры передовой
сионализм команды специалистов «Делойта» практики лидеров мировой финансовой отрасли.
позволяют ей приносить пользу клиентам на любых Кроме того, мы проводим регулярные семинары
этапах ведения бизнеса: от разработки стратегии и конференции, которые помогают участникам рынка
развития компании до ее подготовки к осущест- следить за последними новостями в отрасли и поль-
влению первичного размещения акций. зоваться дополнительными возможностями, возни-
кающими в процессе практического сотрудничества.
Мы активно сотрудничаем с ведущими финан- Мы обладаем глубоким знанием отраслевой
совыми организациями в России и СНГ. Глубокие специфики, и нашей целью является сохранение
знания и опыт, приобретенные в ходе работы и укрепление таких ведущих позиций.
в секторе финансовых услуг, позволяют нам каче-
ственно проводить анализ в таких областях, как Мы осуществляем значительные инвестиции
аудит, управление рисками, внедрение совре- в группу по работе с данным сектором: проводим
менных информационных систем и технологий, специализированное обучение, используем особый
управленческое и финансовое консультирование, подход к проведению аудита, проводим иссле-
реструктуризация, налогообложение и соблю- дования и осуществляем управление знаниями.
дение законодательства. Над решением этих задач Все это позволяет обеспечить непрерывный процесс
работают более 380 специалистов в Москве, Санкт- обучения наших специалистов и использование
Петербурге, Южно-Сахалинске, Киеве, Минске, Баку, лучших примеров из мировой практики при работе
Тбилиси, Алматы, Астане, Атырау, Актау, Бишкеке, с клиентами. Это означает, что наши специалисты
Ташкенте и Душанбе. К числу наших клиентов лучше информированы и предоставляют услуги,
относятся центральные, коммерческие и инвести- отвечающие потребностям каждого клиента, наце-
ционные банки, брокерские фирмы, инвестици- ленные на решение основных проблем и устранение
онные фонды, депозитарные организации, биржи, главных рисков, и максимально использующие
страховые компании и пенсионные фонды, а также лучшие примеры из мировой практики и глобальные
международные финансовые организации. знания в каждой из областей данного сектора.
Группа по предоставлению услуг компаниям Наш подход к оказанию услуг

сферы высоких технологий, телекоммуникаций, Наша деятельность направлена на предоставление
развлечений и СМИ полного спектра услуг международным компаниям
«Делойт» является одной из ведущих аудиторско- и расширение области обслуживания отече-
консалтинговых организаций, которой отдают ственных клиентов. Плодотворное сотрудничество
предпочтение передовые компании сферы высоких российских и иностранных специалистов позволяет
технологий, телекоммуникаций, развлечений и СМИ нам достичь наиболее удачного баланса знаний
во всем мире, включая лидирующие предприятия и навыков, необходимых для предоставления услуг
стран СНГ. высочайшего уровня.
В странах СНГ «Делойт» предоставляет услуги более Страны СНГ стремительно развиваются, а это значит,
80% предприятий отрасли и получил признание что мы не ограничиваемся традиционным подходом
клиентов и рынка как ведущий отраслевой эксперт. к оказанию услуг. Мы постоянно дополняем
Мы гордимся тем, что предлагаем самый широкий и развиваем спектр наших услуг, чтобы успешно
спектр услуг по сравнению с конкурентами. Группы работать на этом уникальном рынке и предлагать
по обслуживанию компаний сферы высоких техно- качественное обслуживание нашим клиентам, в том
логий, телекоммуникаций, развлечений и СМИ в СНГ числе новые решения по вопросам ведения бизнеса.
включает более 150 специалистов в Москве, Санкт- О нашем успехе свидетельствует тот факт, что сегодня
Петербурге, Южно-Сахалинске, Киеве, Минске, Баку, мы являемся самой быстрорастущей аудиторско-
Тбилиси, Алматы, Астане, Атырау, Актау, Бишкеке, консалтинговой фирмой из компаний «большой
Ташкенте и Душанбе, предоставляющих услуги в четверки» на рынке СНГ.
области аудита, налогообложения, корпоративных
финансов и консалтинга.
48
Мы знаем, что перед каждым нашим клиентом Залогом нашего нынешнего и будущего успеха
стоят уникальные задачи, и можем предложить вам является профессионализм сотрудников, энтузиазм
услуги, полностью отвечающие вашим потребно- и приверженность целям компании. В компании
стям. Наш подход основан на четком представлении созданы условия, способствующие успеху и карьер-
о проблемах бизнеса и инновационных методах их ному росту сотрудников. Мы реализовали программу
решения в сочетании с пониманием национальных «Компания, которую выбирают». «Делойт» — един-
особенностей и глубоким знанием конкретных ственное из ведущих международных объединений
отраслей экономики. Наша задача — способствовать аудиторских и консалтинговых фирм. которое авто-
успеху наших клиентов по всему миру. ритетный журнал Fortune шесть лет подряд включает
в список ста предприятий-работодателей, наиболее
Фирмы, входящие в состав «Делойт Туш Томацу», привлекательных для сотрудников.
придерживаются высоких стандартов в области
профессиональной этики, честности и качества
предоставляемых услуг. Свидетельством этому
являются наш подход к ведению бизнеса,
стандарты обслуживания клиентов, общие
ценности и этические принципы нашей компании.
Мы стремимся во всем следовать букве и духу
профессиональных норм, законам мирового рынка
и общечеловеческим нормам этики и морали.
Настоящая публикация содержит информацию только общего характера,
и ни «Делойт Туш Томацу», ни ее фирмы-участницы не предоставляет с помощью
настоящего документа каких-либо бухгалтерских, деловых, финансовых,
инвестиционных, юридических, налоговых или иных профессиональных
консультаций или услуг. Настоящая публикация не заменяет собой таких профес-
сиональных консультаций или услуг и не должна использоваться в качестве
основы для принятия решений или мер, оказывающих влияние на вас или ваш
бизнес. До принятия каких-либо решений или мер, которые могут повлиять
на ваши финансы или положение вашего бизнеса, вы должны проконсультиро-
ваться с квалифицированным профессиональным консультантом. Ни «Делойт
Туш Томацу», ни ее фирмы-участницы, а также их аффилированные компании
не несут ответственности за какие-либо убытки, понесенные любым лицом,
которое полагается на данную публикацию.
© 2009 «Делойт Туш Томацу». Все права защищены.
50
«Делойт» предоставляет услуги в области аудита, налогообложения, консалтинга и корпоративных финансов государственным
и частным компаниям, работающим в различных отраслях экономики. «Делойт» — международная сеть компаний, которые
используют свои обширные отраслевые знания и многолетний опыт практической работы при обслуживании клиентов в любых сферах
деятельности в 140 странах мира. 165 000 специалистов «Делойта» по всему миру привержены идеям достижения совершенства
в предоставлении профессиональных услуг своим клиентам.
Сотрудники «Делойта» объединены особой культурой сотрудничества, которая в сочетании с преимуществами культурного
разнообразия направлена на развитие высоких моральных качеств и командного духа и повышает ценность наших услуг для клиентов
и рынков. «Делойт» уделяет большое внимание постоянному обучению своих сотрудников, получению ими опыта практической работы
и предоставлению возможностей карьерного роста. Специалисты «Делойта» способствуют укреплению корпоративной ответственности,
повышению общественного доверия к компаниям объединения и созданию благоприятной атмосферы в обществе.
Название «Делойт» относится к «Делойт Туш Томацу», объединению фирм (Swiss Verein), зарегистрированному в соответствии
со швейцарским законодательством, любой из фирм, входящих в его состав, каждая из которых является самостоятельным и
независимым юридическим лицом. Подробное описание правовой структуры «Делойт Туш Томацу» и фирм, входящих в ее состав,
представлено в сети Интернет по адресу www.deloitte.com/about.
© 2009 ЗАО «Делойт и Туш СНГ». Все права защищены.

Отчет Делойт

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Отчет Делойт

Uploaded by

Copyright:

Available Formats

Оценка готовности

Август 2009 года

6 Цели и задачи исследования

22 Оценка нормативной базы

30 Влияние на основную деятельность

42 Организация, проведение и оценка результатов исследования

43 Законодательные и нормативно-правовые акты

В рамках осуществления своей деятельности

• Несоблюдение нормативных правил и требований

Ответственный подход к соблюдению требований

В данном исследовании отражена степень

Банки Менее 1 тыс. человек

Страхование От 10 тыс. до 50 тыс. человек

Телекомуникации и Интернет От 50 тыс. до 100 тыс. человек

От 100 тыс. до 500 тыс. человек

От 1 млн до 5 млн человек

От 10 млн до 50 млн человек

Более 50 млн человек

По количеству сотрудников респонденты

• более 5 тыс. сотрудников (из них 10% —

• от 1 тыс. до 5 тыс. сотрудников (из них 5% —

• менее 1 тыс. сотрудников (из них 5% —

От 101 до 500 Для того чтобы способствовать открытому

1. Менее половины респондентов уверены в том,

2. Подавляющее число респондентов признают

4. Выполнение требований Закона рассматривается

Менее половины респондентов уверены в том,

Респонденты, принявшие участие в исследовании, • обслуживание клиентов — 100%;

Количество субъектов, персональные данные которых обрабатываются

Обслуживание клиентов 100%

Управление персоналом 76%

Финансы и бухгалтерия 67%

Юридическое обеспечение 67%

Маркетинг и продажи 57%

Управление рисками 57%

В соответствии с Приказом Федеральной службы • первая категория — персональные данные,

Персональные данные, позволяющие

Персональные данные, позволяющие

Персональные данные, позволяющие

По результатам классификации информационных • учет применяемых средств защиты информации;

Сколько в вашей организации информационных систем, обрабатывающих

Существующая система защиты исключает возможность несанкционированного доступа, а также

Затрудняюсь ответить 33%

Существующая система защиты исключает возможность использования избыточных прав

Существующая система защиты исключает возможность несанкционированного доступа

Существующая система защиты исключает возможность несанкционированного доступа, а также

Анализируя технические и организационные меры, которые ограничивают возможность произвольной

Какие технические и организационные меры по защите коммерческой информации, принятые

Межсетевые экраны 95%

Соглашения о конфиденциальности и необходимые разделы контрактов с контрагентами 95%

Формализованная и утвержденная политика информационной безопасности 95%

Физическая защита резервных копий данных информационной системы 90%

Применение информационных систем с возможностью авторизации и аутентификации пользователей 90%

Мониторинг использования Интернета и электронной почты сотрудниками 81%

Необходимые разделы должностных инструкций и трудовых договоров 76%

Регулярные проверки наличия уязвимостей информационной безопасности 71%

Формализованные и утвержденные правила пользования информационными системами 67%

Шифрование данных, передаваемых через сеть 62%

Проверка предоставляемых прав доступа к информационным системам на избыточность 57%

Регулярные тренинги по информационной безопасности для ИТ специалистов 33%

Регулярные тренинги по информационной безопасности для сотрудников бизнес-подразделений 24%

Шифрование резервных копий 19%

Шифрование данных информационных систем 14%

Подавляющее число респондентов признают