 |
|
|
|
Остаточный принцип отменен. Компании озаботились информационной безопасностью
Остаточный принцип отменен Персональные данные – сложный объект для регулирования. С одной стороны, они являются отражением частной жизни, неприкосновенность которой охраняется законом. С другой стороны, ПДн – это необходимый элемент социализации и юридическая основа для реализации правоспособности и дееспособности Во многом это связано со вступлением в силу Федерального закона №152 «О персональных данных». Предпосылками к принятию данного закона являлись необходимость гармонизации российского и западного законодательства, а также желание предпринять конкретные шаги для повышения уровня защищенности персональных данных граждан. В 2009–2010 годах были внесены некоторые изменения в законодательство о персональных данных. Федеральный закон №266-ФЗ внес изменения в ФЗ «О персональных данных» по вопросам реализации международных договоров Российской Федерации о реадмиссии [1]. При необходимости обработки персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии:
Федеральный закон №363-ФЗ исключил обязанность оператора использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Тем не менее необходимо отметить, что использование средств криптографической защиты регламентируется нормативными документами ФСБ РФ и определяется на основе модели нарушителя. Закон также продлил срок, до которого информационные системы персональных данных должны быть приведены в соответствие с требованиями федерального закона. Теперь информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями федерального закона не позднее 1 января 2011 года. При этом необходимо отметить, что те информационные системы, которые вводятся в эксплуатацию после 1 января 2010 года, уже должны соответствовать требованиям по защите персональных данных. 16 марта 2010 года вступил в силу приказ ФСТЭК России, в соответствии с которым принято «Положение о методах и способах защиты информации в информационных системах персональных данных». Утвержденное положение определяет методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных операторами или уполномоченными лицами [2]. В связи с изданием приказа ФСТЭК России решением ФСТЭК России с 15 марта 2010 года для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных не применяются следующие методические документы ФСТЭК России:
Таким образом, с 15 марта 2010 года методы и способы защиты информации в информационных системах персональных данных устанавливаются ФСТЭК России в следующих документах:
Необходимо отметить, что внесенные изменения не отменяют необходимость использования сертифицированных средств защиты информации, так как это требование содержится как в приказе ФСТЭК РФ №58, так и в постановлении Правительства РФ №781. Согласно статье 19 федерального закона, «оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». Кроме того, в соответствии с положениями закона обработка персональных данных может осуществляться только с согласия субъекта в письменной форме. В качестве альтернативы письменной формы согласия можно использовать электронную цифровую подпись. Однако в законе есть несколько исключений. Еще одно требование сформулировано в 22-й статье федерального закона: «Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных». Однако и в данной статье предусмотрен ряд исключений. Так, например, если организация обрабатывает только персональные данные своих работников, то в этом случае она может вести обработку без уведомления уполномоченного органа. В качестве уполномоченного органа выступает Роскомнадзор (www.rsoc.ru), на сайте которого можно получить информацию о форме уведомления и порядке ее заполнения. Именно Роскомнадзор с формальной точки зрения отвечает за соблюдение требований законодательства в области защиты персональных данных. На сайте регулятора можно ознакомиться с планом проверок на текущий и следующий годы, а также с некоторыми их результатами. Для реализации требований Федерального закона «О персональных данных» необходимо создание и внедрение комплексной системы защиты. Как правило, процесс создания такой системы защиты включает в себя следующие основные этапы:
В соответствии со статьей 24 федерального закона «лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность». На практике нарушение требований федерального закона может привести к одному из следующих последствий:
Кроме того, согласно пункту 3 статьи 21, «в случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные». При этом очевидно, что уничтожение персональных данных для организаций, работающих с физическими лицами, например для банков или страховых компаний, равносильно приостановке бизнеса. В настоящее время многие критикуют Федеральный закон «О персональных данных» за излишне жесткие требования и рассматривают его как очередной повод для государственных регуляторов к проведению тех или иных проверок. Сегодня можно с уверенностью сказать, что принятие закона позволило привлечь внимание руководства российских компаний к проблеме обеспечения информационной безопасности. Так, если раньше во многих организациях подразделения, отвечающие за защиту информации, финансировались по остаточному принципу, то теперь благодаря закону они полноценным образом участвуют в процессе планирования затрат на решения по защите информации.
|
ВИКТОР СЕРДЮК, генеральный директор ЗАО «ДиалогНаука», CISSP, к.т.н., доцент кафедры «Информационные технологии» РГТУ им. К.Э. ЦиолковскогоКомментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
