Отчет Делойт

Оценка готовности к выполнению требований федерального закона «О персональных данных»Результаты исследования

Август 2009 года

Содержание

4 Вступительное слово 6 Цели и задачи исследования 8 Респонденты 12 Основные выводы 15 Текущее состояние 22 Оценка нормативной базы 30 Влияние на основную деятельность 34 Текущие показатели 38 Планы 42 Организация, проведение и оценка результатов исследования 43 Законодательные и нормативно-правовые акты 45 Благодарность 46 Контакты 47 О «Делойте»

Оценка готовности к выполнению требований федерального закона «О персональных данных» Результаты исследования 3

4

Вступительное слово

В рамках осуществления своей деятельности организация получает доступ к персональным данным своих клиентов, сотрудников и других заинтересованных лиц. Хранение и обработка этих данных не только является одним из средств достижения организацией своих целей, но и влечет за собой дополнительную ответственность


Мы рады предложить вашему вниманию результаты исследования, посвященного оценке готовности крупнейших российских организаций, занятых в сфере высоких технологий, телекоммуникаций и финансовых услуг, к выполнению требований Федерального закона Российской Федерации №152-ФЗ «О персональных данных».

Проведение данного исследования является продолжением международного обзора объединения компаний «Делойт», посвященного информационной безопасности в сфере высоких технологий, телекоммуникаций, развлечений и СМИ1 по итогам 2008 года, к результатам которого можно отнести нижеследующие выводы.

• Многиекомпанииотраслинеимеютпрограммыпо управлению соблюдением нормативных правил и требований в области защиты персональных данных и формализованных регламентов в отношении уничтожения персональных данных.

• Вопросзащитыконфиденциальнойинформациивызывает обеспокоенность со стороны большинства потребителей, которым все чаще приходится раскрывать свои персональные данные.

• Несоблюдениенормативныхправилитребованийможет привести к штрафам и значительным последствиям.

Данные выводы наряду с требованиями Федерального закона Российской Федерации «О персональных данных» вызвали значительный интерес к исследованию ситуации в России со стороны организаций, занятых в сфере высоких технологий, телекоммуникаций и финансовых услуг, основная деятельность которых связана с хранением и обработкой больших объемов персональных данных, и послужили стимулом для проведения более подробного исследования в данной области. Результаты этого исследования приводятся в настоящем документе.

Отлицакомпании«Делойт»,СНГиГруппыпоуправлению рисками организаций мы хотели бы поблагодарить всех участников данного исследования, которые поделились с нами своим опытом в отношении выполнения требований Федерального закона «О персональных данных». Нанашвзгляд,подобноесодействиеможетспособствовать повышению эффективности и экономичности защиты персональных данных, обеспечению соответствия указанных мероприятий действующему законодательству и дальнейшему совершенствованию регулирования в этой области.

С уважением,

Дмитрий Яковенко Партнер Департамент консалтинга

Выможетеознакомиться1. с результатами исследо-вания международного объединения компаний «Делойт», посвящен-ного информационной безопасности в области высоких технологий, телекоммуникаций, развлечений и СМИ, на нашем сайте в Интернете: http://www.deloitte.ru.

6

Цели и задачи исследования

Ответственный подход к соблюдению требований законодательства наряду с открытым обсуждением возникающих трудностей и обменом опытом поможет найти наиболее оптимальные решения


В2006годувРоссийскойФедерациибылпринятФедеральныйзаконот27июля2006года№152-ФЗ«О персональных данных» (далее также — Закон), целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Данным законом регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации или без использования таких средств.

Под персональными данными (далее также — ПД) понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональныхданных).Втомчислекперсональнымданным относятся такие данные, как фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы.

Обработка персональных данных определяется как действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение.

Оператор персональных данных определяется как государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Данный Закон вступил в силу по истечении 180 после дняегоофициальногоопубликования29июля2006года. Согласно документу обработка персональных данных, включенных в информационные

системы персональных данных (далее также — ИСПД), осуществляется в соответствии с данным Законом. Кроме того, не позднее 1 января 2008 года операторы, осуществляющие обработку персональных данных до дня вступления в силу Закона и продолжающие осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных соответствующее уведомление.

И наконец, все информационные системы персональных данных, созданные до дня вступления Закона в силу, должны быть приведены в соответствие с требованиями Закона не позднее 1 января 2010 года.

Первоочередной целью исследования, посвященного готовности крупнейших российских организаций к выполнению требований Федерального закона «О персональных данных», является привлечение внимания к важности надлежащего хранения и обработки персональных данных наряду с обеспечением эффективности и экономичности этого процесса.

Входеисследованиястоялазадачаполучитьответына следующие основные вопросы:

• Каковаситуациясзащитойперсональныхданных в крупнейших российских организациях в настоящее время?

• Скакимитрудностямисталкиваютсяорганизациив процессе совершенствования своего подхода к хранению и обработке персональных данных в целях соблюдения требований законодательства?

• Какиефинансовыеивременныересурсынеобходимы для выполнения требований Федерального закона «О персональных данных»?

8

Респонденты

В данном исследовании отражена степень готовности крупнейших российских организаций к выполнению требований законодательства в области обработки персональных данных на сегодняшний день

5%

76%


Исследование проводилось среди российских организаций и российских подразделений международных организаций, занятых в отраслях, связанных с обработкой значительного количества персональных данных. При этом основной акцент делался на коммерческие организации и на то, чтобы в число респондентов были включены достаточно крупные компании. Такой выбор объясняется тем, что именно коммерческие организации, основная деятельность которых связана с обработкой значительного количества персональных данные, в наибольшей степени заинтересованы и вероятнее всего имеют необходимые ресурсы для выполнения требований законодательства в области защиты персональных данных.

С учетом отраслевой принадлежности и количества хранимых и обрабатываемых субъектов персональных данных, чьи данные хранились и/или обрабатывались респондентами по состоянию на 1 июня 2009 года, среди респондентов можно выделить нижеследующие основные группы:

• Телекоммуникационныекомпании,хранящиеи/или обрабатывающие данные более чем 10 млн субъектов персональных данных, — 10%. К этой группе относятся компании, основная деятельность которых связана с услугами мобильной связи.

• Финансовыеорганизации,хранящиеи/или обрабатывающие данные 1 млн — 5 млн субъектов персональных данных, — 33%. К этой группе относятся в основном организации, специализирующиеся на предоставлении финансовых услуг широкого профиля (23%), а также организации, специализирующиеся на кредитовании и страховании (10%);

• Остальныереспонденты,хранящиеи/илиобрабатывающие данные менее чем 500 тыс. субъектов персональных данных, — 52%. К этой группе относятся информационные интернет-организации и прочие телекоммуникационные компании (9%), а также прочие организации, специализирующиеся на предоставлении финансовых услуг (43%).

Необходимоотметить,чтонекоторыереспонденты(5%) затруднились ответить на вопрос об объеме хранящихся и обрабатываемых персональных данных по состоянию на 1 июня 2009 года. Данный факт может свидетельствовать о том, что в этих организациях работы по подготовке к выполнению требований Закона находятся на начальном этапе.

10

Распределение по отраслям Количество субъектов, персональные данные которых обрабатываются вашей организацией по состоянию на 1 июня 2009 года (в количестве человек, не считая сотрудников организации)?

По количеству сотрудников респонденты распределились следующим образом:

• более5тыс.сотрудников(изних10%—телекоммуникационные компании) — 33%;

• от1тыс.до5тыс.сотрудников(изних5%—телекоммуникационные компании) — 33%;

• менее1тыс.сотрудников(изних5%—информационные интернет-организации) — 24%.

19%

5%

76%

9%5%5%

5%

14%

10%

19%

33%

Банки

Страхование

Телекомуникации и Интернет

Менее 1 тыс. человек

От 10 тыс. до 50 тыс. человек



От 1 млн до 5 млн человек

От 10 млн до 50 млн человек

Более 50 млн человек

Затрудняюсь ответить


Количество сотрудников

Для того чтобы способствовать открытому и откровенному обсуждению вопросов. было принято решение сохранить анонимность участников, не указывая названий организаций, принявших участие в исследовании.

От 101 до 500

От 501 до 1000

От 1001 до 5000

От 5001 до 10000

от 10001 до 50000

14%

24%

10%

33%

19%

12

Основные выводы

1. Менее половины респондентов уверены в том, что существующие средства информационной безопасности позволяют надежно защитить персональные данные.

2. Подавляющее число респондентов признают важность законодательного регулирования в области персональных данных, однако считают многие требования Закона неясными, избыточными или спорными.

Организации прилагают значительные усилия для защиты своей коммерческой информации, что, безусловно, также обеспечивает определенный уровень защиты персональных данных. Однако уровень защиты, приемлемый для многих организаций в отношении данных по операционной деятельности, может быть недостаточным для защиты персональных данных.

Согласно результатам исследования 43% респондентов считают, что существующая система защиты исключает возможность несанкционированного доступа к персональным данным. Однако эти респонденты не уверены, что использование с целью доступа к персональным данным избыточных прав доступа, которые могут быть тем не менее санкционированы руководством, и расширенных полномочий, например

полномочий администраторов информационных систем, исключено.

Другие 33% респондентов затруднились ответить, в какой мере существующие средства информационной безопасности (далее также — ИБ) обеспечивают защиту персональных данных.

Таким образом, менее половины респондентов убеждены в том, что существующие средства ИБ позволяют защитить персональные данные от несанкционированного доступа. Кроме того, отсутствует уверенность относительно того, что авторизованным пользователям не могли быть ошибочно предоставлены избыточные права доступа, а также относительно того, что злоупотребления со стороны пользователей с расширенными полномочиями исключены.

Несмотрянато,чтовцеломреспондентыосознают важность законодательного регулиро-вания обработки персональных данных, только 9% респондентов считают целесообразными все требования действующего Закона. При этом 81% респондентов считают часть требований Закона избыточными и/или спорными. Так, 85% респон-дентов полагают, что Закон в его текущей редакции содержит неясные или недостаточно детализиро-

ванные требования и что необходимы дополни-тельные разъяснительные документы и отраслевые стандарты. Почти половина респондентов (43%) отметили несогласованность и возможные противо-речия между требованиями Закона2 и другими действующими федеральными законами, отрас-левым законодательством и стандартами, а также прочими регламентирующими документами.

Комментарии респон-2. дентов касались не только самого Закона, но и связанных с ним законодательных и нормативно-правовых актов.


3. Большинство респондентов не видят в выполнении требований Закона прямой практической пользы для своих клиентов и опасаются повышения стоимости предоставляемых услуг.

Закон предусматривает выполнение организациями, обрабатывающими персональные данные, ряда дополнительных функций и реализации организационных и технических мер по защите персональных данных. Однако только 5% респондентов полагают, что выполнение требований Закона повысит уровень обслуживания клиентов.

Кроме того, почти половина респондентов (48%) считают, что в результате выполнения требований Закона уровень обслуживания не повысится, но увеличится стоимость услуг их организаций. Таким образом, большинство респондентов не видят прямой практической пользы для своих клиентов в выполнении требований Закона.

4. Выполнение требований Закона рассматривается на данный момент скорее как задача службы информационной безопасности, а не всей организации в целом, что делает степень готовности недостаточно высокой.

Организация, обрабатывающая персональные данные, должна реализовать ряд мероприятий, направленных на выполнение требований Закона. Как показало исследование, в наибольшей степени проведены мероприятия, связанные с выявлением информационных систем персональных данных, внедрением базовых средств защиты и определе-нием работающего с ними круга лиц (реализовали от 43%до76%респондентов).

Организационные мероприятия, связанные с разработкой программы соответствия требова-ниям Закона, анализом и внесением изменений в бизнес-процессы и проведением обучения для сотрудников, реализованы менее чем у 30% респон-дентов. Пересмотр внутренних регламентирующих документов и разработка регламентов в области

обработки и защиты персональных данных также реализованы менее чем у 30% респондентов.

Данные респондентами ответы демонстрируют, что выполнение требований Закона рассматривается на данный момент скорее как задача службы ИБ, анеорганизациивцелом.Ниоднаизорганизаций,принявших участие в исследовании, на данный момент не закончила работы по доработке/замене/проведению оценки соответствия информационных систем персональных данных с учетом требований Закона, а также работы по внедрению формали-зованного процесса для обработки обращений субъектов персональных данных, что свидетельствует о низкой степени готовности организаций к выпол-нению требований Закона.

14

5. Недостаточное количество специалистов, а также существенные финансовые и временные затраты делают маловероятной готовность большинства организаций к выполнению требований Закона до 1 января 2010 года.

Согласно оценкам респондентов для выполнения требований Закона потребуется значительное время, которое оценивается подавляющим большин-ствомреспондентов(76%)вдиапазонеотдевятимесяцев до более чем двух лет. Более половины респондентов(62%)ответили,чтоспециалисты,обладающие необходимыми знаниями и квалифи-кацией для подготовки организации к выполнению требований Закона, есть, но их недостаточно. Еще 14% респондентов ответили, что необходимых специалистовнет.Нехваткаспециалистов,обла-

дающих необходимыми знаниями и квалификацией для подготовки организации к выполнению требо-ваний Закона, вынуждает организации обращаться к услугам профессиональных консультантов. Кроме того, респонденты отмечают разрыв между необхо-димыми инвестициями и бюджетом 2009 года на выполнение требований Закона. С учетом низкой степени готовности организаций к выполнению требований Закона на данный момент большинство организаций не смогут обеспечить выполнение требований Закона к 1 января 2010 года.


Менее половины респондентов уверены в том, что существующие средства информационной безопасности позволяют надежно защитить персональные данные.

Респонденты, принявшие участие в исследовании, отмечали, что целый ряд функциональных областей деятельности их организаций связан с хранением и обработкой персональных данных, включая финансы и бухгалтерию, маркетинг и продажи, управление рискам, технологическую инфраструктуру, а также отношения с акционерами и контрагентами. Однако наиболее важными для большинства респон-дентов являются:

Текущее состояние

• обслуживаниеклиентов—100%;• ИТиинформационнаябезопасность—90%;• управлениеперсоналом—76%;• юридическоеобеспечениеосновной

деятельности—67%.

Таким образом, выполнение требований Закона для большинства респондентов в первую очередь связано с перечисленными выше четырьмя основными сферами деятельности.

Количество субъектов, персональные данные которых обрабатываются вашей организацией по состоянию на 1 июня 2009 года (в количестве человек, не считая сотрудников организации)?

100%

90%

76%

67%

67%

57%

57%

38%

10%

Обслуживание клиентов

ИТ и информационная безопасность

Управление персоналом

Юридическое обеспечение

Финансы и бухгалтерия

Маркетинг и продажи

Управление рисками

Технологическая инфраструктура

Логистика

16

С целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных, оператор проводит классификацию информационных систем персональных данных3. Под информационной системой персональных данных в Законе понимается информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использова-нием средств автоматизации или без использования таких средств.

ВсоответствиисПриказомФедеральнойслужбыпо техническому и экспортному контролю (далее — ФСТЭК России), Федеральной службы безопасности (далее — ФСБ России) и Министерства информационных технологий и связи Российской Федерации (далее — Мининформсвязи России)4 при проведении классификации информационных систем персональных данных учитываются: • категорияобрабатываемыхвинформационной системе персональных данных;• объемобрабатываемыхперсональныхданных

(количество субъектов, персональные данные которых обрабатываются в информационной системе);

• заданныеоператоромхарактеристикибезопас-ности персональных данных;

• характеристикисредствинформационнойсистемы.

Объем обрабатываемых персональных данных распределяется на три группы: «менее чем 1тыс. субъектов», «от 1 тыс. до 100 тыс. субъектов» и «более чем 100 тыс. субъектов».

Что касается количества обрабатываемых персо-нальныхданныхклиентов,то62%респондентовобрабатывают персональные данные более чем 100 тыс. субъектов, еще 24% обрабаты-вают персональные данные от 1 тыс. до 100 тыс. субъектов. Персональные данные менее чем 1 тыс. субъектов обрабатывают лишь 9% респондентов. Телекоммуникационные компании присутствовали только в группе «более чем 100 тыс. субъектов», в то время как банки входили во все три группы.

По количеству персональных данных собственных сотрудников67%респондентовобрабатываютперсо-нальные данные от 1 тыс. до 100 тыс. субъектов, 33% респондентов обрабатывают персональные данные менее чем 1 тыс. субъектов. Телекоммуникационные компании присутствовали только в группе «от 1 тыс. до 100 тыс. субъектов», в то время как банки входили в обе группы.

Приказ ФСТЭК России, ФСБ России и Мининформсвязи России определяет также четыре категории обрабатываемых в информационных системах персональных данных:

• перваякатегория—персональныеданные,касающиеся расовой, национальной принад-лежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

• втораякатегория—персональныеданные,позволя-ющие идентифицировать субъекта персональных данных и получить о нем дополнительную инфор-мацию, за исключением персональных данных, относящихся к первой категории;

• третьякатегория—персональныеданные,позволяющие идентифицировать субъекта персональных данных;

• четвертаякатегория—обезличенныеи(или)обще-доступные персональные данные.

Чем больше объем персональных данных и выше их категория (первая категория — самая высокая), тем более серьезные методы и способы защиты должны применяться оператором для обеспечения безопасности персональных данных. Методы и способы защиты информации в информаци-онных системах устанавливаются ФСТЭК России и ФСБ России.

Подавляющее большинство респондентов (81%) хранят и обрабатывают персональные данные, позволяющие идентифицировать субъект персо-нальных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории первой, то есть персо-нальные данные категории второй. Персональные данные, относящиеся к категории первой, обрабаты-вают только респонденты, занимающиеся страховой деятельностью.

Всоответствии3. с Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверж-дении Положения об обеспечении безопас-ности персональных данных при их обработке в информационных системах персональных данных».

Приказ ФСТЭК 4. России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года№55/86/20«Обутверждении Порядка проведения классифи-кации информационных систем персональных данных».


Персональные данные, позволяющие идентифицировать субъект персональных данных (например, Ф. И. О и паспортные данные или Ф. И. О., адрес прописки и год рождения)

Персональные данные, позволяющие идентифицировать субъект персональных данных и получить о нем дополнительную информацию

Персональные данные, позволяющие идентифицировать субъект персональных данных и получить о нем дополнительную информацию, включая расовую и национальную принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимную жизнь

По результатам классификации информационных систем персональных данных оператор должен5 в отношении каждой из них выполнить мероприятия по обеспечению безопасности персональных данных, которые включают:

• формированиемоделиугроз;• разработкусистемызащитыперсональныхданных;• проверкуготовностисредствзащиты;• установкуивводвэксплуатациюсредствзащиты;• обучениелиц,использующихсредства

защиты информации;

Какой тип персональных данных обрабатывается вашей организацией?

5%

14%

81%

• учетприменяемыхсредствзащитыинформации;• учетлиц,допущенныхкработе

с персональными данными;• контрольсоблюденияусловийиспользования

средств защиты информации;• разбирательстваисоставлениезаключений

по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации;

• описаниесистемызащиты.

Всоответствии5. с Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверж-дении Положения об обеспечении безопас-ности персональных данных при их обработке в информационных системах персональных данных».

18

Очевидно, что чем больше информационных систем, обрабатывающих персональные данные, использу-ется в организации, тем больший объем финансовых и временных ресурсов необходимы для выполнения требований законодательства по обработке персо-нальных данных. Большинство респондентов (52%) эксплуатируют более десяти информационных

систем, хранящих и обрабатывающих персональные данные.Всереспонденты,хранящиеиобрабаты-вающие персональные данные более чем 1 млн субъектов, эксплуатируют как минимум пять соот-ветствующих информационных систем, а большая часть этих респондентов эксплуатирует более десяти соответствующих информационных систем.

Сколько в вашей организации информационных систем, обрабатывающих персональные данные?

5%

24%

19%52%

Менее 5

От 5 до 10

Более 10


Организации прилагают значительные усилия для защиты своей коммерческой информации, что, безусловно, обеспечивает определенный уровень защиты и персональных данных. Однако уровень защиты, приемлемый для многих организаций в отношении данных по операционной деятель-ности, может быть недостаточным для защиты персональных данных.

Нередкоорганизацииидутнакомпромиссмеждуповышением уровня защиты информации и возни-кающими при этом издержками. Практически

в любой организации есть сотрудники, имеющие избыточные или расширенные права доступа, которые могут быть использованы для доступа к коммерческой информации вообще и персо-нальным данным в частности.

Если в отношении коммерческой информации организация может пойти на определенные риски нарушения конфиденциальности, то в отношении персональных данных нарушение конфиденциаль-ности является неприемлемым.


Согласно результатам исследования 43% респон-дентов полагают, что существующая система защиты исключает несанкционированный доступ к персональным данным. Однако эти респонденты не уверены, что использование с целью доступа к персональным данным избыточных прав доступа, которые могут быть тем не менее санкциониро-ваны руководством, и расширенных полномочий, например полномочий администраторов информа-ционных систем, исключено.

Другие 33% респондентов затруднились ответить, в какой мере существующие средства ИБ обеспечи-вают защиту персональных данных.

Таким образом, менее половины респондентов уверены в том, что существующие средства ИБ позволяют защитить персональные данные от несанкционированного доступа. К тому же отсут-ствует уверенность относительно того, что автори-

зованным пользователям не могли быть ошибочно предоставлены избыточные права доступа, а также относительно того, что злоупотребления со стороны пользователей с расширенными полномочиями исключены.

При этом, как показал международный обзор «Делойта», посвященный информационной безопасности в сфере высоких технологий, теле-коммуникаций, развлечений и СМИ6 по результатам 2008 года, наибольшая угроза для компаний сектора исходитотнихсамих.Внекоторыхслучаяхсотруд-ники непреднамеренно делятся конфиденциальной информацией, не осознавая потенциальных послед-ствий.Вконечномсчетеответственностьзатакиедействия может быть возложена на компанию. Это означает, что в первую очередь организациям следует позаботиться о защите персональных данных от собственных сотрудников.

Выможетеознакомиться6.с результатами международного обзора «Делойта», посвященного информационной безопасности в сфере высоких технологий, телекоммуникаций, развлечений и СМИ, на нашем интернет-сайте: www.deloitte.ru.

20

Насколько, по вашему мнению, защищены персональные данные от несанкционированного доступа/от случайного и/или умышленного доступа/от доступа сотрудников с избыточными правами доступа к данным?

5%

5%

43%

33%

14%

Существующая система защиты исключает возможность несанкционированного доступа, а также возможность использования избыточных и расширенных прав для доступа к персональным данным

Существующая система защиты исключает возможность несанкционированного доступа, а также возможность использования избыточных прав для доступа к персональным данным

Существующая система защиты исключает возможность использования избыточных прав для доступа к персональным данным


Существующая система защиты исключает возможность несанкционированного доступа к персональным данным

Анализируя технические и организационные меры, принимаемые респондентами с целью защиты коммерческой информации и персональных данных, мы обратили внимание на то, что в основном респонденты полагаются на нижеследующие техни-ческие решения и административные меры.

• Кширокоиспользуемымадминистративныммерам можно отнести формализованную и утвержденную политику ИБ (95%), соглашения о конфиденциальности и необходимые разделы контрактов с контрагентами (95%), необходимые разделы должностных инструкций и трудовых договоров(76%),формализованныеиутверж-денные правила пользования информационными системами(67%),формализованныеиутверж-денные правила администрирования и разработки информационных систем (57%).

• Кширокоиспользуемымтехническимрешениямможно отнести межсетевые экраны (95%), приме-нение информационных систем с возможностью авторизации и аутентификации пользователей (90%), шифрование данных, передаваемых через сеть»(62%).

• Отдельнохотелосьбыотметитьтакоеважноетехническое решение для ограничения доступа к персональным данным со стороны авторизо-ванных пользователей, как применение инфор-мационных систем с интерфейсами пользователя,

которые ограничивают возможность произвольной выборки информации (формирование пользова-тельских отчетов, поиск данных и прочее) — 81%.

Также широко используются такие базовые орга-низационные меры по защите информации, как физическая защита резервных копий данных инфор-мационной системы (90%), мониторинг использо-вания Интернета и электронной почты сотрудниками (81%), ограничение возможности использования внешних носителей данных, например USB накопи-телей (71%) и регулярные проверки наличия уязви-мости ИБ (71%).

Втожевремяпроверкапредоставляемыхправдоступа к информационным системам на избыточ-ность и ограничение доступа администраторов и разработчиков информационных систем к данным информационных систем осуществляется лишь 57% респондентов, что вероятнее всего объясняет неуверенность в отсутствии избыточных прав доступа и возможных злоупотреблений расширенными полномочиями.

Регулярные проверки выполнения требований политики ИБ и правил пользования и администри-рования информационных систем выполняют только 52% респондентов. И это несмотря на то, что форма-лизованная и утвержденная политика ИБ разра-


Какие технические и организационные меры по защите коммерческой информации, принятые в вашей организации, обеспечивают полную или частичную защиту персональных данных?

Межсетевые экраны

Соглашения о конфиденциальности и необходимые разделы контрактов с контрагентами

Формализованная и утвержденная политика информационной безопасности

Физическая защита резервных копий данных информационной системы

Применение информационных систем с возможностью авторизации и аутентификации пользователей

Мониторинг использования Интернета и электронной почты сотрудниками

Применение информационных систем с интерфейсами пользователя, которые ограничивают возможность произвольной выборки информации (формирование пользовательских отчетов, поиск данных и прочее)

Необходимыеразделыдолжностныхинструкцийитрудовыхдоговоров

Регулярные проверки наличия уязвимостей информационной безопасности

Ограничение возможности использования внешних носителей данных (например, USB накопителей)

Доступ к отчетам с персональными данными имеют только те сотрудники, которым это необходимо для выполнения своих служебных обязанностей

Формализованные и утвержденные правила пользования информационными системами

Шифрование данных, передаваемых через сеть

Ограничение доступа администраторов и разработчиков информационных систем к данным информационных систем

Проверка предоставляемых прав доступа к информационным системам на избыточность

Формализованные и утвержденные правила администрирования и разработки информационных систем

Регулярные проверки выполнения требований политики информационной безопасности и правил пользования и администрирования информационных систем

Регулярные тренинги по информационной безопасности для ИТ специалистов

Регулярные тренинги по информационной безопасности для сотрудников бизнес-подразделений

Шифрование резервных копий

Шифрование данных информационных систем

ботана 95% респондентов, а формализованные и утвержденные правила пользования информаци-онными системами и формализованные и утверж-денные правила администрирования и разработки информационныхсистемразработаны67%и57%респондентов соответственно. Очевидно, что форма-лизованные политики и правила являются необхо-димым, но не достаточным условием обеспечения необходимого уровня информационной безопас-ности вообще и персональных данных в частности.

Опрос показал, что организации не уделяют достаточного внимания мерам, направленным на обучение, повышение квалификации и осве-домленности сотрудников в области ИБ, так регулярные тренинги по информационной безопас-ности для ИТ-специалистов и регулярные тренинги по информационной безопасности для сотрудников бизнес-подразделений проводят лишь 33% и 24% респондентов соответственно.

95%

95%

95%

90%

90%

81%

81%

76%

71%

71%

71%

67%

62%

57%

57%

57%

52%

33%

24%

19%

14%

22

Подавляющее число респондентов признают важность законодательного регулирования в области персональных данных, однако считают многие требования Закона неясными, избыточными или спорными.

Оценка нормативной базы

Принятие закона о персональных данных в России стало результатом ратификации Конвенции Совета Европы «О защите физических лиц при автома-тизированной обработке персональных данных». Это подтверждает тот факт, что Россия движется в том же направлении, что и крупнейшие европей-ские страны. Проведенное исследование показало, что подавляющее число респондентов (90%) признают важность законодательного регулирования в области персональных данных.

Помимо самого Закона респонденты, принявшие участие в исследовании, перечислили следующие законодательные и нормативно-правовые акты, используемые при подготовке организации к соответ-ствию требованиям Закона:

• ПостановлениеПравительстваРФот17ноября2007 года № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» — 90%;

• ПриказФСТЭКРоссии,ФСБРоссиии Мининформсвязи России от 13 февраля 2008 года№55/86/20«Обутверждениипорядкапроведения классификации информационных системперсональныхданных»—86%;

• ПостановлениеПравительстваРФот15сентября2008года№687«ОбутвержденииПоложенияоб особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»—76%;

• Федеральныйзакон«Олицензированииотдельныхвидов деятельности» от 8 августа 2001 года №128-ФЗ—67%;

• Нормативно-методическиедокументыФСБРоссии,ФСТЭК России — 57%;

• ПостановлениеПравительстваРФот30апреля.2002 года № 290 «О лицензировании деятельности по технической защите конфиденци-альной информации» — 52%;

• ПКЗ-2005,«Осертификациисредствзащитыинформации» — 52%;

• КонвенцияСоветаЕвропы«Озащитефизическихлиц при автоматизированной обработке персо-нальных данных» — 29%.

Следует отметить, что нормативно-методические документы ФСТЭК России не опубликованы и имеют статус «Для служебного пользования» (ДСП). Возможно,этимобъясняется,чтоихиспользуютпри подготовке организации к соответствию требо-ваниям Закона лишь чуть больше половины респон-дентов (57%).


Какими нормативными документами помимо Закона вы руководствуетесь при подготовке организации к соответствию требованиям Закона?

86%

76%

67%

57%

52%

52%

29%

5%

90%Постановление Правительства РФ № 781 от 17.11.2007 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

СовместныйПриказФСТЭК,ФСБиМининформсвязи№55/86/20от 13.02.08 «Об утверждении порядка проведения классификации информационных систем персональных данных»

ПостановлениеПравительстваРФ№687от15.09.2008«ОбутвержденииПоложения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

ФЗ «О лицензировании отдельных видов деятельности»

Нормативно-методическиедокументыФСБ,ФСТЭКРоссии

ПКЗ-2005, «О сертификации средств защиты информации»

Положение «О лицензировании деятельности по технической защите конфиденциальной информации»

Европейская Конвенция «О защите физических лиц при автоматизированной обработке персональных данных»


24

Несмотрянато,чтовцеломреспондентыподдер-живают важность законодательного регулирования обработки персональных данных, только 9% респон-дентов считают целесообразными все требования действующего Закона. При этом 81% респондентов считают часть требований Закона избыточными и/или спорными.

Комментарии респондентов относительно избы-точных и/или спорных требований в Законе7 касались в основном следующих областей:

Спорные требования:•слишком сжатые сроки реакции на возражения –субъектов;возможность субъекта персональных данных –отозвать согласие на обработку своих персо-нальных данных;несбалансированность прав и обязанностей –субъекта и оператора персональных данных: Закон определяет права субъекта персональных данных и минимум обязанностей для него, в то время как для оператора определен целый ряд обязанностей и минимум прав.

Избыточные технические требования:•требования по защите от утечки инфор- –мации за счет побочного электромагнитного излученияинаводок(ПЭМИН),атакжетребо-вания в отношении акустической защиты и виброзащиты;необходимость получения лицензий ФСТЭК –России в области технической защиты конфиден-циальной информации (ТЗКИ);необходимость использования только сертифици- –рованных средств защиты персональных данных, в то время как для большинства наиболее распро-страненных коммерческих операционных систем, систем управления базами данных и пр. сертифи-цированные средства зашиты отсутствуют;регистрация всех обращений к персональным –данным с детальным описанием времени, причины обращения и т. д.

Кроме того, некоторые респонденты были озабочены необходимостью выполнения требований, осно-ванных на опыте защиты государственной тайны, и склонялись к требованиям, формируемым с учетом экономической целесообразности на основании международного опыта и национальных стандартов в области информационной безопасности.

Комментарии 7. респондентов касались не только самого Закона, но и связанных с ним законодательных и нормативно-правовых актов.


Так, 85% респондентов считают, что Закон в его нынешней редакции содержит неясные или недо-статочно детализированные требования и необхо-димы дополнительные разъяснительные документы и отраслевые стандарты. Комментарии респондентов относительно неясных или недостаточно детализи-рованных требований в Законе8 касались в основном следующих областей:

Неточноеопределениетерминов:•недостаточно четко определены персональные –данные как объект защиты, отсутствует исчерпы-вающий и однозначный перечень данных, относя-щихся к персональным данным; некоторые положения Закона ссылаются –на неопределенные понятия (например, «медико-социальные услуги»);недостаточно четко определено понятие –«средство автоматизации» обработки персо-нальных данных и применимость этого понятия к информационной системе персональных данных.

Считаете ли вы целесообразными все требования Закона, или Закон содержит избыточные и/или спорные требования?

10%

9%

81%

Нет,частьтребованийизбыточныи/илиспорны

Да, все требования целесообразны


Неточноеопределениетребований:•оператор должен убедиться в том, –что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных до начала осуществления трансграничной передачи персональных данных, однако каковы критерии «адекватной защиты» и как необходимо докумен-тировать проверку, не указано;необходимо более детально определить порядок –классификации информационных систем персо-нальных данных;необходима разработка отраслевых стандартов –по защите персональных данных;отсутствуют описания методик осуществления –контроля и надзора за обработкой персональных данных со стороны уполномоченных органов.

Комментарии 8. респондентов касались не только самого Закона, но и связанных с ним законодательных и нормативно-правовых актов.

26

Достаточна ли нормативная база в области защиты и обработки персональных данных или, по вашему мнению, Закон содержит неясные или недостаточно детализированные требования?

9%

5%

86%

Нет,требуютсядополнительныеразъяснительные документы


Да, нормативная база достаточна

Почти половина респондентов (43%) отметили несогласованность и возможные противоречия между требованиями Закона9 и других действующих федеральных законов, отраслевого законодательства и стандартов, а также прочих регламентирующих документов. Только 9% респондентов считают, что противоречий нет, в то время как 48% респон-дентов затруднились ответить. Комментарии респон-дентов относительно этих противоречий в Законе касались в основном нижеследующих областей

Всоответствииспунктом3Постановления•Правительства РФ от 17 ноября 2007 года № 781 методы и способы защиты информации в информа-ционных системах устанавливаются ФСТЭК России и ФСБ России в пределах их полномочий. Однако часть нормативно-методических документов ФСТЭК России и ФСБ России не опубликована и имеет статус «Для служебного пользования», что ограни-чивает доступ к нормативной базе.Закон о коммерческой тайне: возможно ли исполь-•зование режима коммерческой тайны для защиты, в том числе, и персональных данных.

Закон о банках и банковской деятельности: может •ли выполнение организацией требований о нераз-глашении банковской тайны служить подтверж-дением выполнения требований по защите персональных данных.Стандарт Банка России СТО БР ИББС-1.0-2008 •«Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»: может ли выпол-нение организацией требований стандарта служить подтверждением того, что организацией приняты необходимые меры по обеспечению защиты персо-нальных данных.Действующие формы платежных документов •не предусматривают письменного согласия субъекта на обработку его персональных данных.Субъект персональных данных имеет право •на получение информации, касающейся обработки его персональных данных, в том числе содер-жащей сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ. Однако предоставление такой информации может нарушать права этих лиц, и, следовательно, в этом случае право субъекта персональных данных на доступ к своим персо-нальным данным должно быть ограничено.

Комментарии 9. респондентов касались не только самого Закона, но и связанных с ним законодательных и нормативно-правовых актов


Да

Нет


Есть ли примеры противоречий между требованиями Закона и требованиями отраслевого законодательства (например, телекоммуникационного или банковского), условиями лицензий и прочими регламентирующими документами?

Закон предусматривает осуществление контроля и надзора за обработкой персональных данных со стороны уполномоченного органа по защите прав субъектов персональных данных. Таким органом является орган исполнительной власти, осущест-вляющий функции по контролю и надзору в сфере информационных технологий и связи, — Федеральная служба по надзору в сфере связи, информаци-онных технологий и массовых коммуникаций (далее также — Роскомнадзор).

К основным обязанностям Роскомнадзора относятся организация защиты прав субъектов персональных данных, рассмотрение жалоб и обращений граждан или юридических лиц по вопросам, связанным с обработкой персональных данных,

48% 43%

9%

и ведение реестра операторов персональных данных. Для реализации своих полномочий Роскомнадзор имеет право запрашивать и безвоз-мездно получать у физических или юридических лиц необходимую информацию.

Ответы респондентов показывают, что в 71% органи-заций, принявших участие в исследовании, проверки со стороны Роскомнадзора не проводились. Только 15% респондентов столкнулись с проверками, и лишь в 5% из них были выявлены нарушения, имеющие юридический характер и связанные с несоответствием отдельных регламентирующих документов требова-ниям Закона (по результатам проверки были даны предписания на устранение недостатков).

28

Еще 14% респондентов затруднились ответить на вопрос относительно проверок со стороны регули-рующих органов и выявленных нарушений.

Были ли выявлены нарушения требований Закона в ходе плановых и/или внеплановых проверок, проводимых регулирующими органами?

5%

10%14%

71%

Да

Нет

Проверки не проводились



Закон вступил в силу 25 января 2007 года. Таким образом, на протяжении уже почти полутора лет субъекты персональных данных имеют право доступа ксвоимперсональнымданным.ВсоответствиисЗаконом это означает, что каждый гражданин имеет право на получение сведений об операторе персо-нальных данных, о месте его нахождения, о наличии у оператора своих персональных данных, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, уста-ревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Мы ожидаем, что по мере того, как граждане будут лучше понимать свои права, количество обращений будет расти. Каждого, кто вынужден передавать свои персональные данные государственным и коммерче-ским организациям, все в большей степени беспокоят незатребованные ими сообщения по электронной

Сталкивалась ли ваша организация с обращениями субъектов персональных данных относительно предоставления и/или удаления персональных данных?

Да


Нет

Среди респондентов, принявших участие в исследо-вании,большаячасть(62%)несталкиваласьсобра-щениями граждан относительно их персональных данных.Вероятнеевсего,такаяситуациявпервуюочередь связана с низкой осведомленностью граждан с положениями Закона и своими правами, предусмотренными Законом, а также низкой активностью граждан.

Втожевремя19%респондентовужестолкну-лись с такими обращениями и еще 19% респон-дентов затруднились ответить. Обращения имели место в связаны с запросами на предоставление персональных данных, обрабатываемых опера-тором или сторонними организациями, например Национальнымбюрокредитныхисторий.Такжереспонденты сталкивались с запросами на удаление персональных данных из информационных систем.

19%

19%

62%

почте и средствами традиционной почтовой корреспонденции, звонки рекламного характера на мобильные и стационарные телефоны, инциденты с утечкой номеров мобильных телефонов и банков-ских кредитных карт, регистрационной информации на автотранспортные средства и т. д.

30

Большинство респондентов не видят в выполнении требований Закона прямой практической пользы для своих клиентов и опасаются повышения стоимости предоставляемых услуг.

Влияние на основную деятельность

ВсоответствиисЗакономорганизации,обра-батывающие персональные данные, должны предоставлять субъекту персональных данных информацию о последующей обработке соби-раемых данных, принимать необходимые органи-зационные и технические меры для защиты этих данных, при обращении сообщать информацию об их наличии и предоставлять возможность озна-комления с ними.

ВыполняятребованияЗакона,респонденты,принявшие участие в исследовании, отмечали следующие задачи и трудности, возникновение которых они ожидают или с которыми они уже столкнулись:

Организационные аспекты:•рост числа проверок со стороны –регуляторов — 95%;организационные изменения и изменения –бизнес-процессов — 71%;дополнительные запросы клиентов по вопросам –использованияперсональныхданных—67%;увеличение числа персонала для выполнения –требованийЗакона—62%;противоречие требований Закона действующей –нормативной базе — 52%

Технические аспекты:•дополнительные инвестиции в ИТ-инфраструктуру –и информационную безопасность — 100%;доработка существующих информационных –систем — 95%;сертификация систем и внедрение сертифициро- –ванных средств защиты — 90%;снижение производительности информационных –систем — 81%;внедрение средств криптографии — 71%. –

Также респонденты отмечали проблемы с отсут-ствием сертифицированных средств защиты для программно-технических комплексов, используемых в их организациях.


Выполнениедополнительныхфункций,реализацияорганизационных и технических мер по защите персональной информации, а также решение пере-численных выше трудностей не может не оказать влияния на основную деятельность организаций. Почти половина респондентов (48%) считают, что в результате выполнения требований Закона стоимость услуг, оказываемых их организацией,

Как, по вашему мнению, изменится стоимость услуг, оказываемых вашей организацией, в результате выполнения требований Закона?

повысится, а четверть участников исследования (24%) отметили, что стоимость услуг не повысится. Это может означать снижение прибыльности из-за дополнительных расходов на технические меры и персонал. Еще 29% респондентов не смогли оценить изменение стоимости услуг в результате выполнения требований Закона.

28% 24%

48%

Неизменится

Повысится


32

Интересные ответы были получены на вопрос об изменении уровня обслуживания клиентов в результате выполнения требований Закона. Несмотрянато,чтоподавляющеечислоучастниковисследования осознает важность законодательного регулирования обработки персональных данных, только 5% респондентов считают, что выполнение требований Закона повысит уровень обслужи-вания клиентов. Так, 52% респондентов считают, что уровень обслуживания клиентов не изменится. А почти четверть (24%) и вовсе ожидают снижения уровня обслуживания клиентов.

Респонденты, ожидающие увеличения стоимости услуг их организаций, считают, что в результате выполнения требований Закона уровень обслужи-вания не повысится. Таким образом, большинство респондентов не видят прямой практической пользы для своих клиентов в выполнении требований Закона.

Как, по вашему мнению, изменится уровень обслуживания клиентов и/или привлекательность услуг вашей организации для клиентов в результате выполнения требований Закона?

19%

5%

24%

52%

Повысится

Понизится




Подавляющее большинство респондентов (71%) не планирует вносить изменения в объем собираемых и обрабатываемых персональных данных в результате регулирования указанного вида деятельности. А 10% респондентов считают, что количество собираемых и обрабатываемых персональных данных может даже

Как, по вашему мнению, изменится объем собираемых и обрабатываемых вашей организацией персональных данных в рамках выполнения требований Закона и/или сокращения затрат?

Увеличится

Уменьшится


увеличиться. К этим двум группам относится подавля-ющеебольшинствобанков.Втовремякакбольшаячасть телекоммуникационных компаний относится к группе из 19% респондентов, рассматривающих возможность сокращения объема собираемых и обрабатываемых персональных данных.

10%

19%

71%

34

Выполнение требований Закона рассматривается на данный момент скорее как задача службы информационной безопасности, а не всей организации в целом, что делает степень готовности недостаточно высокой.

Текущие показатели

ВсоответствиистребованиямиЗаконаоператордо начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении проводить обработку персональных данных. Операторы, осуществляющие обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжающие осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполно-моченный орган по защите прав субъектов персо-нальных данных уведомление не позднее 1 января 2008 года

38% респондентов направили уведомления о намерении осуществлять обработку персо-нальных данных. Еще 14% планируют направить уведомление.

38% респондентов пока не направляли уведомления о намерении осуществлять обработку персональных данных. Это может объясняться тем, что оператор вправе осуществлять обработку следующих персо-нальных данных10 без уведомления уполномочен-ного органа:

сведений, относящихся к субъектам персональных •данных, которых связывают с оператором трудовые отношения;сведений, полученных оператором в связи с заклю-•чением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предо-ставляются третьим лицам без согласия субъекта персональных данных и используются опера-тором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.

Следует отметить, что под обработкой персо-нальных данных в Законе подразумеваются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличи-вание, блокирование и уничтожение.

Направлено ли вашей организацией уведомление о том, что она является оператором персональных данных?

10%

38%

38%

14%

Да

Впроцессесбораданных для уведомления

Нет


Закон определяет также ряд других ситуаций, предусма-10. тривающих возможность обработки персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.


Внезависимостиотналичияилиотсутствиянеоб-ходимости уведомлять уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персо-нальных данных организация должна провести ряд мероприятий, направленных на выполнение требований Закона. Судя по ответам респондентов, к наиболее распространенным реализованным мероприятиям относятся мероприятия, связанные с обеспечением безопасности информационных систем персональных данных:

выявлены все основные информационные системы •персональныхданных—76%;внедрены базовые средства защиты персональных •данных — 57%;информационные системы проанализированы •на предмет определения работающего с ними круга лиц — 43%.

Однако классификацию информационных систем персональных данных в соответствии с порядком, установленным совместным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от13февраля2008года№55/86/20,провелитолько 29% респондентов. Лишь 14% респондентов описали модель угроз для каждой конкретной информационной системы персональных данных и средства защиты от них, разработали внутренние нормативные документы (такие как инструкции о порядке обработки ПД, регламенты доступа в зону обработки ПД и т. д.). Это свидетельствует о том, что внедренные средства защиты персо-нальных данных могут оказаться недостаточными либо избыточными.

Организационные мероприятия реализованы менее чем 30% респондентов:

все бизнес-процессы компании проанализи-•рованы на предмет обработки персональных данных — 24%;

разработана программа по соответствию требова-•ниям законодательства в области защиты персо-нальных данных — 19%;в бизнес-процессы компании внесены организа-•ционные изменения с учетом требований зако-нодательства в области защиты персональных данных — 14%;проведено обучение и информирование сотруд-•ников в области обработки и защиты персональных данных — 10%.

Внутренниерегламентирующиедокументыорга-низаций, а также документы, регламентирующие отношения с сотрудниками, клиентами, постав-щиками и т. д., проанализированы на предмет соответствия требованиям Закона только 29% респондентов, а необходимые доработки по результатам анализа регламентирующих доку-ментов выполнили только 19% респондентов. Формализованные регламенты в области обеспе-чения защиты персональных данных, методов их сбора и обработки, а также их уничтожения разработаны и внедрены только у 5% респондентов.

Ниоднаизорганизаций,принявшихучастиев исследовании, на данный момент не закончила работы по доработке/замене/проведению оценки соответствия ИСПД с учетом требований Закона и работы по внедрению формализованного процесса для обработки обращений субъектов персональных данных.

Данные респондентами ответы демонстрируют, что выполнение требований Закона рассматривается в настоящее время скорее как задача службы ИБ, а не организации в целом — только 14% респон-дентов отметили, что запланированные мероприятия по защите персональных данных согласованы с инициативами бизнес-подразделений.

Следует отметить, что подавляющее число респон-дентов, еще не успевших реализовать те или иные мероприятия, направленные на выполнение требо-вания Закона, тем не менее не считают их непри-менимыми или избыточными и запланировали их осуществление на будущее.

36

10% 20% 30% 40% 50% 60% 70% 80% 90%

Какие из следующих мероприятий по выполнению требований законодательства в области защиты персональных данных реализованы/планируется реализовать в вашей организации?

Реализовано

1

2

34

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

Планируется Нетребуется Предпочитаю не отвечать


Внедренформализованныйпроцессдляразре-1. шения претензий по вопросам использования персональных данных.

Информационные системы доработаны/2. заменены/ проведена оценка соответствия с учетом требований законодательства в области защиты персональных данных.

Устранение недостатков соответствия требова-3. ниям Закона о персональных данных.

Разработаны и внедрены формализованные 4. регламенты в области обеспечения защиты персо-нальных данных, методов их сбора и обработки, а также их уничтожения.

Проведено обновление технических средств 5. защиты и инфраструктуры информационной безопасности.

Проведены организационные изменения.6.

Регулирующие органы поставлены в известность о 7. наличии ИСПД и о присвоенном им классе.

Проведены тренинги и информирование сотруд-8. ников в области обработки и защиты персо-нальных данных.

Запланировано взаимодействие с регулирую-9. щими и законодательными органами для совер-шенствования нормативной базы.

Запланированные инициативы по защите персо-10. нальных данных согласованы с инициативами бизнес-подразделений.

Создана (описана) модель угроз для каждой 11. конкретной ИСПД, описаны средства защиты, разработаны внутренние нормативные документы (такие как инструкции о порядке обработки ПД, регламенты доступа в зону обработки ПД и т. д.).

Вбизнес-процессыкомпаниивнесеныорга-12. низационные изменения с учетом требований законодательства в области защиты персональных данных.

Разработана программа по соответствию требова-13. ниям законодательства в области защиты персо-нальных данных.

Внутренниерегламентирующиедокументы14. компании, а также документы, регламенти-рующие отношения с сотрудниками, клиентами, поставщиками и т.д., доработаны в соответствии с требованиями законодательства в области защиты персональных данных.

Всебизнес-процессыкомпаниипроанализи-15. рованы на предмет обработки персональных данных.

Обновлена стратегия информационной 16.безопасности.

Внутренниерегламентирующиедокументы17. компании, а также документы, регламенти-рующие отношения с сотрудниками, клиентами, поставщиками и т.д., проанализированы на предмет соответствия требованиям законодатель-ства в области защиты персональных данных.

Проведена классификация ИСПД в соответствии 18. с установленным порядком (Совместный Приказ ФСТЭК,ФСБиМининформсвязи№55/86/20от13.02.08).

Информационные системы компании проана-19. лизированы на предмет определения круга лиц, работающих с ИСПД.

Внедреныбазовыесредствазащиты,предна-20. значенные для обеспечения безопасности персо-нальных данных.

Выявленывсеосновныеинформационные21. системы персональных данных (ИСПД).

38

Недостаточное количество специалистов, а также существенные финансовые и временные затраты делают маловероятной готовность большинства организаций к выполнению требований Закона до 1 января 2010 года.

Планы

С учетом невысокой степени готовности к выпол-нению требований Закона на настоящий момент и внушительного перечня мероприятий, которые планируется провести большинством респон-дентов, на первый план выходит вопрос наличия достаточного количества необходимых специали-стов. При этом 24% респондентов считают, что их организации располагает достаточным количе-ством специалистов, обладающих необходимыми знаниями и квалификацией для подготовки к выпол-

нению требованияй Закона. К этой группе относятся телекоммуникационные компании и российские подразделения некоторых международных банков. Еще 14% респондентов отметили, что необходимых специалистов нет. Однако количество реализованных мероприятий, направленных на выполнение требо-ваний Закона не зависит от наличия достаточного количества специалистов и практически все орга-низации планируют прибегнуть также к услугам профессиональных консультантов.

Почти половина респондентов (48%) планирует воспользоваться исключительно услугами профес-сиональных консультантов для подготовки к выполнению требований Закона. Еще 14% респондентов планируют воспользоваться услугами профессиональных консультантов для помощи собственным специалистам.

Около 20% респондентов планируют различным образом комбинировать услуги профессиональных консультантов, прием на работу дополнительных специалистов, возможности собственных специали-стов и услуги аутсорсинга для обработки персо-нальных данных. Из них только 5% планируют подготовиться к выполнению требований Закона исключительно силами собственных специалистов.

Какие из следующих мероприятий по выполнению требований законодательства в области защиты персональных данных реализованы/планируется реализовать в вашей организации?

14%

24%

62%

Да

Специалисты есть, но их недостаточно

Нет


Реализация мероприятий, которые планиру-ется провести в организациях респондентов, потребует не только дополнительных специалистов, но и финансовых инвестиций. Больше трети респон-дентов (33%) затруднились оценить необходимые инвестиции, а большинство остальных респон-дентов оценили размер необходимых инвестиций в диапазоне от 1 млн до 100 млн рублей:

от 50 млн до 100 млн рублей — 14%;•от 10 млн до 50 млн рублей — 29%;•от 1 млн до 10 млн рублей — 19%.•

При этом 5% респондентов оценили размер необхо-димых инвестиций в сумму более 100 млн рублей.

Как вы оцениваете размер необходимых инвестиций для выполнения требований Закона в вашей организации (в рублях)?

От 1 до 10 млн



Более 100 млн


Чем выше размер необходимых инвестиций, тем меньше уверенность респондентов в том, что стоимость услуг может остаться без изменений. Респонденты, которые оценивают размер инвестиций в сумму более 50 млн рублей считают, что стоимость услуг повысится, или затруднились ответить.

Вответахреспондентовонеобходимыхинвестицияхне удалось выявить отраслевых закономерностей или закономерностей, связанных с объемом обраба-тываемых персональных данных. Размер инвестиций в большей степени зависел от количества информа-ционных систем персональных данных. Так органи-зации, использующие более пяти информационных систем персональных данных, оценивают размер необходимых инвестиций не ниже 10 млн рублей.

19%

29%

14%

5%

33%

40

Несмотряназначительныйразмерсуммнеобхо-димых инвестиций, направленных на обеспечение соответствия требованиям Закона, в бюджете организаций на 2009 год для выполнения требо-ваний Закона было зарезервировано от 1млн до 10 млн рублей у 14% респондентов и от 100 тыс. до 1 млн рублей у 29% респондентов. Остальные респонденты затруднились ответить, либо суммы, зарезервированные в бюджете, были несуще-ственными. Респонденты, оценивающие размер

необходимых инвестиций в диапозоне от 1 млн до 10 млн рублей, не резервировали существенных сумм в бюджете 2009 года или затруднились их оценить.

Существенный разрыв между объемом необходимых инвестиций и бюджетом 2009 года на обеспечение выполнения требований Закона может свидетель-ствовать о том, что полная готовность организаций к 1 января 2010 года маловероятна.

14%

14%

43%

29%

Какой бюджет запланирован на 2009 год для обеспечения выполнения требований Закона в вашей организации (в рублях)?

Менее 10 тыс.

От 100 тыс. до 1 млн




Низкаявероятностьтого,чтоорганизациибудутполностью готовы к выполнению требований Закона к 1 января 2010 года, дополнительно подтверждается тем, что текущая степень готовности недостаточно высокая, а необходимое время для выполнения требований Закона подавляющим большинством респондентов(76%)оцениваетсявдиапазонеот девяти месяцев до более чем двух лет. Из них 48% респондентов оценивает время, необходимое для выполнения требований Закона, от 12 до 24 месяцев.

Сколько времени по вашим оценкам может занять выполнение требований Закона в вашей организации?

3—6месяцев

6—9месяцев

9 —12 месяцев

12—24 месяцев

Более 24 месяцев


9%

5% 5%

14%

19%

48%

42

Организация, проведение и оценка результатов исследования

Исследование было построено таким образом, чтобы определить степень готовности органи-заций к выполнению требований Федерального закона «О персональных данных» и представить результаты данной оценки. Особое внимание было уделено не только оценке готовности организаций, но и выявлению тех задач и трудностей, возник-новение которых они ожидают или с которыми им уже пришлось столкнуться, а также опреде-ление ресурсов, необходимых для устранения этих трудностей.

Процесс сбора данных подразумевал получение количественной и качественной информации. Сбор данных проводился в июле 2009 года посред-ством заполнения анкеты. Анкета была состав-лена из вопросов, разработанных специалистами Департамента консалтинга компании «Делойт», СНГ.Вопросыотбиралисьсучетомвозможностиотражения наиболее важных тем, связанных с оценкой готовности организаций к выполнению требований Федерального закона «О персональных данных».Всевопросыбылипроверенынапредметприменимости, своевременности и значимости.

После окончательного оформления и согласования анкеты с участниками исследовательской группы ее электронная версия была направлена организациям, принявшим участие в исследовании. Данные, полу-ченные из заполненных анкет, были агрегированы и обезличены для целей подготовки отчета.

Отвечая на некоторые вопросы, респонденты могли выбратьнескольковариантовответа.Вподобныхслуча сумма значений может превышать 100%.

ВрамкахподготовкиотчетапроводилсяанализФедерального закона «О персональных данных» и связанных с ним законодательных и нормативно-правовых актов. Однако результаты этого анализа, представленные в отчете, нельзя считать исчерпы-вающими, поскольку как таковая задача изучения и анализа всех положений Закона и их применения на практике в рамках настоящего отчета нами не ставилась.


Законодательные и нормативно-правовые акты

Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 28 января 1981 года, с изменениями от 15 июня 1999 года)

http://www.rsoc.ru/.cmsc/upload/documents/200809051630215I.rtf

Федеральныйзаконот19декабря2005года№160-ФЗ«Оратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

http://www.rsoc.ru/.cmsc/upload/docs/20080905163037HM.rtf

ФедеральныйзаконРоссийскойФедерацииот27июля2006года№152-ФЗ «О персональных данных»

http://www.rg.ru/2006/07/29/personaljnye-dan-nye-dok.html

Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

http://www.rg.ru/2007/11/21/personalnye-dan-nye-dok.html

Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13 февраля2008года№55/86/20«ОбутвержденииПорядкапроведенияклассификации информационных систем персональных данных»

http://www.rg.ru/2008/04/12/informaciya-doc.html

Постановление Правительства Российской Федерации от 15 сентября 2008 года№687«ОбутвержденииПоложенияобособенностяхобработкиперсональных данных, осуществляемой без использования средств автоматизации»

http://www.rg.ru/2008/09/24/dannye-obrabot-ka-dok.html

Трудовой кодекс Российской Федерации от 30 декабря 2001 года № 197-ФЗ.Частьтретья,РазделIII«Трудовойдоговор»,Глава14«Защитаперсональных данных работника»

http://www.rg.ru/oficial/doc/codexes/trud/14.shtm

ПостановлениеПравительстваРоссийскойФедерацииот6июля2008года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

http://www.rg.ru/2008/07/11/trebovaniya-dok.html

Перечень нормативно-методических документов ФСТЭК России в области персональных данных

http://www.rsoc.ru/main/directions/874/934.shtml

Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации

http://www.rsoc.ru/.cmsc/upload/docs/20081218101410o1.doc

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных

http://www.rsoc.ru/.cmsc/upload/documents/20081218101535n8.doc

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций

http://www.rsoc.ru

Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2008 год

http://www.rsoc.ru/.cmsc/upload/documents/20090529113450vC.doc

44

Наши последние публикации

«Международное исследование в области информационной безопасности для компаний сектора высоких технологий, телекоммуникаций, развлечений и СМИ за 2009 год»

http://www.deloitte.com/dtt/article/0,1002,cid%253D262848,00.html

«Основные направления развития отрасли высоких технологий в 2009 году» http://www.deloitte.com/dtt/cda/doc/content/dtt_Technology_Predictions_2009_ru.pdf

«Основные направления развития отрасли телекоммуникаций в 2009 году» http://www.deloitte.com/dtt/cda/doc/content/dtt_tele_2009_ru.pdf

«Основные направления развития отрасли развлечений и СМИ в 2009 году» http://www.deloitte.com/dtt/cda/doc/content/dtt_Media_Predictions_2009_ru.pdf

«Освещая путь: международный опрос руководителей компаний, входящих в рейтинг «500 самых быстрорастущих технологических компаний» за 2008 год»

http://www.deloitte.com/dtt/article/0,1002,cid%253D237637,00.html

«Устойчивостьвнестабильноммире.Новыеотношениясклиентами» http://www.deloitte.com/view/en_US/us/article/bf67dbc9ffe42210VgnVCM100000ba42f00aRCRD.htm

«Новыйрынокфинансовыхуслуг.Возвращаяутраченныепозиции» http://www.deloitte.com/view/en_US/us/article/f914cb51ed812210VgnVCM100000ba42f00aRCRD.htm?id=gfsi-list-rp

«Обзор отраслей промышленности за 2009 год. Банковские услуги и рынок ценных бумаг: новые времена – новые возможности»

http://www.deloitte.com/dtt/article/0,1002,cid=248072,00.html?id=gfsi-list-rp

«Льготное налогообложение. Реализация налоговой стратегии на международном рынке финансовых услуг»

http://www.deloitte.com/view/en_GX/global/industries/financial-services/article/f5c7586731101210VgnVCM100000ba42f00aRCRD.htm?id=gfsi-list-rp


Мы хотели бы поблагодарить представителей всех организаций, которые приняли участие в проведении нашего исследования. Без такого участия и интереса с вашей стороны мы не смогли бы публиковать исследования, подобные этому. Мы выражаем огромную благодарность за то время и усилия, которые наши респонденты затратили на участие в данном проекте.

Благодарность

46

Контакты

Лидеры отраслевых направлений

Максим ЛюбомудровЗаместитель управляющего партнера Департамент консультирования по налогоо-бложению и правуРуководительГруппы по предоставлению услуг финансовым институтам+7(495)[email protected]

Ольга ТабаковаПартнер Департамент аудитаРуководительГруппы по предоставлению услугкомпаниям сферы высоких технологий,телекоммуникаций, развлечений и СМИ+7(495)[email protected]

Департамент консалтинга

Дмитрий ЯковенкоПартнер+7(495)[email protected]

Денис ЛиповСтарший менеджерГруппапоуправлениюрискамиорганизацийВысокиетехнологии,телекоммуникацииразвлечения и СМИ+7(495)7870600,доб[email protected]

Рафаиль Мифтахов Старший менеджерБанки и финансовые институты+7(495)7870600,доб[email protected]

Департамент развития бренда и бизнеса

Виктор КапилевичВедущийспециалистИсследования рынков+7(495)7870600,доб[email protected]

Татьяна ЧекулаеваСтарший координаторпо развитию отраслевого направленияВысокиетехнологии,телекоммуникации,развлечения и СМИ+7(495)7870600,доб[email protected]

Ксения МакароваКоординаторпо развитию отраслевого направленияФинансовые институты+7(495)7870600,доб[email protected]


О «Делойте»

Международная репутация «Делойта» Международное объединение компаний «Делойт» предлагает клиентам весь спектр услуг в области аудита, управления рисками организаций, консал-тинга, корпоративных финансов, консультирования в области налогообложения и права. Мы распола-гаем обширными международными ресурсами и опытом, что позволяет нам обеспечивать макси-мально высокое качество услуг, предоставляемых международным и местным предприятиям.

Нашимиклиентамиявляютсяболее80%круп-нейших компаний мира, а также крупные нацио-нальные предприятия, государственные органы, компании, играющие важную роль на рынках отдельных стран, и быстро развивающиеся междуна-родные компании.

Вофисахнашихкомпанийболеечемв140странахмираработаютсвыше165000специалистов.Нашисотрудники,имеющиебольшоймеждуна-родный опыт, предоставляют услуги, отвечающие единым высоким стандартам качества вне зависи-мости от того, где осуществляют свою деятельность клиенты фирмы. «Делойт» обслуживает крупнейшие компании мира, национальные предприятия, госу-дарственные органы, компании, играющие важную роль на рынках отдельных стран, и быстроразви-вающиеся международные частные компании. Глобальныймасштабдеятельностимеждународногообъединения фирм «Делойт» позволит вам получить доступ к нашим ресурсам и опыту отраслевых специ-алистов и технических экспертов, имеющих в своем распоряжении передовые технологии и способных предоставлять услуги самого высокого качества.

Компания «Делойт» в России и СНГ Вофисахкомпании«Делойт»,СНГработаютоколо3000 сотрудников, специализирующихся на обслу-живании предприятий самых разных отраслей, включая финансы, телекоммуникации, энергетику и добывающую промышленность, розничную торговлю и многие другие. Богатый опыт и профес-сионализм команды специалистов «Делойта» позволяют ей приносить пользу клиентам на любых этапах ведения бизнеса: от разработки стратегии развития компании до ее подготовки к осущест-влению первичного размещения акций.

Напротяженииболее18летмыспособствуемуспешной работе своих клиентов. За это время мы реализовали целый ряд проектов, в рамках которых мы адаптировали международные методо-логии к реалиям российского бизнеса и накопили серьезный опыт работы с местными компаниями.

ПониманиеособенностейрынкаСНГвсочетаниис опытом успешной работы ведущей междуна-родной компании позволяет нам использовать уникальные знания и методологии для удовлетво-рения запросов клиентов. Совместная работа отече-ственных и иностранных специалистов позволяет нам учитывать специфику местных условий и успешно решать стоящие перед нами задачи в соответствии с высочайшими международными стандартами качества.

ВнастоящеевремявстранахСНГ«Делойт»пред-ставлен 14 офисами: в Москве, Санкт-Петербурге и Южно-Сахалинске (Россия), Киеве (Украина), Минске(Беларусь),Тбилиси(Грузия),Баку (Азербайджан), Актау, Алматы, Астане, Атырау (Казахстан), Бишкеке (Кыргызстан), Ташкенте (Узбекистан) и Душанбе (Таджикистан).

Группа по предоставлению услуг финансовым институтам Группакомпании«Делойт»,СНГпопредоставлениюуслуг финансовым институтам на протяжении нескольких лет остается самой крупной и динамично развивающейся в международной сети компаний «Делойт».ОсновнойзадачейГруппыявляетсяразработка эффективных отраслевых решений и инициатив, которые будут способствовать реали-зации задач, стоящих перед нашими клиентами.

Всвоейработемынетолькоиспользуемзнанияи опыт местных специалистов для оказания услуг крупнейшим финансовым организациям, но и учитываем новации сотрудников компаний международной сети «Делойт», работающих в разных странах мира, а также примеры передовой практики лидеров мировой финансовой отрасли. Кроме того, мы проводим регулярные семинары и конференции, которые помогают участникам рынка следить за последними новостями в отрасли и поль-зоваться дополнительными возможностями, возни-кающими в процессе практического сотрудничества.

48

Мы активно сотрудничаем с ведущими финан-совымиорганизациямивРоссиииСНГ.Глубокиезнания и опыт, приобретенные в ходе работы в секторе финансовых услуг, позволяют нам каче-ственно проводить анализ в таких областях, как аудит, управление рисками, внедрение совре-менных информационных систем и технологий, управленческое и финансовое консультирование, реструктуризация, налогообложение и соблю-дениезаконодательства.Надрешениемэтихзадачработают более 380 специалистов в Москве, Санкт-Петербурге, Южно-Сахалинске, Киеве, Минске, Баку, Тбилиси, Алматы, Астане, Атырау, Актау, Бишкеке, Ташкенте и Душанбе. К числу наших клиентов относятся центральные, коммерческие и инвести-ционные банки, брокерские фирмы, инвестици-онные фонды, депозитарные организации, биржи, страховые компании и пенсионные фонды, а также международные финансовые организации.

Группа по предоставлению услуг компаниям сферы высоких технологий, телекоммуникаций, развлечений и СМИ «Делойт» является одной из ведущих аудиторско-консалтинговых организаций, которой отдают предпочтение передовые компании сферы высоких технологий, телекоммуникаций, развлечений и СМИ во всем мире, включая лидирующие предприятия странСНГ.

ВстранахСНГ«Делойт»предоставляетуслугиболее80% предприятий отрасли и получил признание клиентов и рынка как ведущий отраслевой эксперт. Мы гордимся тем, что предлагаем самый широкий спектруслугпосравнениюсконкурентами.Группыпо обслуживанию компаний сферы высоких техно-логий,телекоммуникаций,развлеченийиСМИвСНГвключает более 150 специалистов в Москве, Санкт-Петербурге, Южно-Сахалинске, Киеве, Минске, Баку, Тбилиси, Алматы, Астане, Атырау, Актау, Бишкеке, Ташкенте и Душанбе, предоставляющих услуги в области аудита, налогообложения, корпоративных финансов и консалтинга.

Мы обладаем глубоким знанием отраслевой специфики, и нашей целью является сохранение и укрепление таких ведущих позиций.

Мы осуществляем значительные инвестиции в группу по работе с данным сектором: проводим специализированное обучение, используем особый подход к проведению аудита, проводим иссле-дования и осуществляем управление знаниями. Всеэтопозволяетобеспечитьнепрерывныйпроцессобучения наших специалистов и использование лучших примеров из мировой практики при работе с клиентами. Это означает, что наши специалисты лучше информированы и предоставляют услуги, отвечающие потребностям каждого клиента, наце-ленные на решение основных проблем и устранение главных рисков, и максимально использующие лучшие примеры из мировой практики и глобальные знания в каждой из областей данного сектора.

Наш подход к оказанию услуг Нашадеятельностьнаправленанапредоставлениеполного спектра услуг международным компаниям и расширение области обслуживания отече-ственных клиентов. Плодотворное сотрудничество российских и иностранных специалистов позволяет нам достичь наиболее удачного баланса знаний и навыков, необходимых для предоставления услуг высочайшего уровня.

СтраныСНГстремительноразвиваются,аэтозначит,что мы не ограничиваемся традиционным подходом к оказанию услуг. Мы постоянно дополняем и развиваем спектр наших услуг, чтобы успешно работать на этом уникальном рынке и предлагать качественное обслуживание нашим клиентам, в том числе новые решения по вопросам ведения бизнеса. О нашем успехе свидетельствует тот факт, что сегодня мы являемся самой быстрорастущей аудиторско-консалтинговой фирмой из компаний «большой четверки»нарынкеСНГ.


Мы знаем, что перед каждым нашим клиентом стоят уникальные задачи, и можем предложить вам услуги, полностью отвечающие вашим потребно-стям.Нашподходоснованначеткомпредставлениио проблемах бизнеса и инновационных методах их решения в сочетании с пониманием национальных особенностей и глубоким знанием конкретных отраслейэкономики.Нашазадача—способствоватьуспеху наших клиентов по всему миру.

Фирмы, входящие в состав «Делойт Туш Томацу», придерживаются высоких стандартов в области профессиональной этики, честности и качества предоставляемых услуг. Свидетельством этому являются наш подход к ведению бизнеса, стандарты обслуживания клиентов, общие ценности и этические принципы нашей компании. Мы стремимся во всем следовать букве и духу профессиональных норм, законам мирового рынка и общечеловеческим нормам этики и морали.

Залогом нашего нынешнего и будущего успеха является профессионализм сотрудников, энтузиазм иприверженностьцелямкомпании.Вкомпаниисозданы условия, способствующие успеху и карьер-ному росту сотрудников. Мы реализовали программу «Компания, которую выбирают». «Делойт» — един-ственное из ведущих международных объединений аудиторских и консалтинговых фирм. которое авто-ритетный журнал Fortune шесть лет подряд включает в список ста предприятий-работодателей, наиболее привлекательных для сотрудников.

50

Настоящаяпубликациясодержитинформациютолькообщегохарактера,и ни «Делойт Туш Томацу», ни ее фирмы-участницы не предоставляет с помощью настоящего документа каких-либо бухгалтерских, деловых, финансовых, инвестиционных, юридических, налоговых или иных профессиональных консультацийилиуслуг.Настоящаяпубликациянезаменяетсобойтакихпрофес-сиональных консультаций или услуг и не должна использоваться в качестве основы для принятия решений или мер, оказывающих влияние на вас или ваш бизнес. До принятия каких-либо решений или мер, которые могут повлиять на ваши финансы или положение вашего бизнеса, вы должны проконсультиро-ватьсясквалифицированнымпрофессиональнымконсультантом.Ни«ДелойтТуш Томацу», ни ее фирмы-участницы, а также их аффилированные компании не несут ответственности за какие-либо убытки, понесенные любым лицом, которое полагается на данную публикацию.

©2009«ДелойтТушТомацу».Всеправазащищены.

«Делойт» предоставляет услуги в области аудита, налогообложения, консалтинга и корпоративных финансов государственным и частным компаниям, работающим в различных отраслях экономики. «Делойт» — международная сеть компаний, которые используют свои обширные отраслевые знания и многолетний опыт практической работы при обслуживании клиентов в любых сферах деятельностив140странахмира.165000специалистов«Делойта»повсемумируприверженыидеямдостижениясовершенствав предоставлении профессиональных услуг своим клиентам.

Сотрудники «Делойта» объединены особой культурой сотрудничества, которая в сочетании с преимуществами культурного разнообразия направлена на развитие высоких моральных качеств и командного духа и повышает ценность наших услуг для клиентов и рынков. «Делойт» уделяет большое внимание постоянному обучению своих сотрудников, получению ими опыта практической работы и предоставлению возможностей карьерного роста. Специалисты «Делойта» способствуют укреплению корпоративной ответственности, повышению общественного доверия к компаниям объединения и созданию благоприятной атмосферы в обществе.

Название«Делойт»относитсяк«ДелойтТушТомацу»,объединениюфирм(SwissVerein),зарегистрированномувсоответствиисо швейцарским законодательством, любой из фирм, входящих в его состав, каждая из которых является самостоятельным и независимым юридическим лицом. Подробное описание правовой структуры «Делойт Туш Томацу» и фирм, входящих в ее состав, представлено в сети Интернет по адресу www.deloitte.com/about.

©2009ЗАО«ДелойтиТушСНГ».Всеправазащищены.

Отчет Делойт

Documents