Остаточный принцип отменен. Компании озаботились информационной безопасностью::Приложение к журналу СА №2(2010)
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6415
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7118
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4396
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3086
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3882
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3897
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6386
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3234
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3530
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7364
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10726
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12446
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14097
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9192
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7142
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5447
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3496
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3213
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3090
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Остаточный принцип отменен. Компании озаботились информационной безопасностью

Архив номеров / 2010 / Выпуск №2 (2) / Остаточный принцип отменен. Компании озаботились информационной безопасностью

Рубрика: Безопасность /  Закон есть закон

Виктор Сердюк ВИКТОР СЕРДЮК, генеральный директор ЗАО «ДиалогНаука», CISSP, к.т.н., доцент кафедры «Информационные технологии» РГТУ им. К.Э. Циолковского

Остаточный принцип отменен
Компании озаботились информационной безопасностью

Персональные данные – сложный объект для регулирования. С одной стороны, они являются отражением частной жизни, неприкосновенность которой охраняется законом. С другой стороны, ПДн – это необходимый элемент социализации и юридическая основа для реализации правоспособности и дееспособности

Во многом это связано со вступлением в силу Федерального закона №152 «О персональных данных». Предпосылками к принятию данного закона являлись необходимость гармонизации российского и западного законодательства, а также желание предпринять конкретные шаги для повышения уровня защищенности персональных данных граждан.

В 2009–2010 годах были внесены некоторые изменения в законодательство о персональных данных. Федеральный закон №266-ФЗ внес изменения в ФЗ «О персональных данных» по вопросам реализации международных договоров Российской Федерации о реадмиссии [1].

При необходимости обработки персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии:

  • согласие субъекта персональных данных не требуется;
  • допускается обработка специальных категорий персональных данных;
  • обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных;
  • может осуществляться трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных.

Федеральный закон №363-ФЗ исключил обязанность оператора использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Тем не менее необходимо отметить, что использование средств криптографической защиты регламентируется нормативными документами ФСБ РФ и определяется на основе модели нарушителя. Закон также продлил срок, до которого информационные системы персональных данных должны быть приведены в соответствие с требованиями федерального закона.

Теперь информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями федерального закона не позднее 1 января 2011 года. При этом необходимо отметить, что те информационные системы, которые вводятся в эксплуатацию после 1 января 2010 года, уже должны соответствовать требованиям по защите персональных данных.

16 марта 2010 года вступил в силу приказ ФСТЭК России, в соответствии с которым принято «Положение о методах и способах защиты информации в информационных системах персональных данных».

Утвержденное положение определяет методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных операторами или уполномоченными лицами [2].

В связи с изданием приказа ФСТЭК России решением ФСТЭК России с 15 марта 2010 года для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных не применяются следующие методические документы ФСТЭК России:

  • «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденные заместителем директора ФСТЭК России 15 февраля 2008 года;
  • «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные заместителем директора ФСТЭК России 15 февраля 2008 года.

Таким образом, с 15 марта 2010 года методы и способы защиты информации в информационных системах персональных данных устанавливаются ФСТЭК России в следующих документах:

  • «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн»;
  • «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн»;
  • «Положения о методах и способах защиты информации в информационных системах персональных данных».

Необходимо отметить, что внесенные изменения не отменяют необходимость использования сертифицированных средств защиты информации, так как это требование содержится как в приказе ФСТЭК РФ №58, так и в постановлении Правительства РФ №781.

Согласно статье 19 федерального закона, «оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

Кроме того, в соответствии с положениями закона обработка персональных данных может осуществляться только с согласия субъекта в письменной форме. В качестве альтернативы письменной формы согласия можно использовать электронную цифровую подпись. Однако в законе есть несколько исключений.

Еще одно требование сформулировано в 22-й статье федерального закона: «Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных». Однако и в данной статье предусмотрен ряд исключений. Так, например, если организация обрабатывает только персональные данные своих работников, то в этом случае она может вести обработку без уведомления уполномоченного органа.

В качестве уполномоченного органа выступает Роскомнадзор (www.rsoc.ru), на сайте которого можно получить информацию о форме уведомления и порядке ее заполнения. Именно Роскомнадзор с формальной точки зрения отвечает за соблюдение требований законодательства в области защиты персональных данных. На сайте регулятора можно ознакомиться с планом проверок на текущий и следующий годы, а также с некоторыми их результатами.

Для реализации требований Федерального закона «О персональных данных» необходимо создание и внедрение комплексной системы защиты. Как правило, процесс создания такой системы защиты включает в себя следующие основные этапы:

  • проведение обследования с целью оценки соответствия организации требованиям Федерального закона «О персональных данных»;
  • разработка модели угроз безопасности персональных данных (ПДн);
  • разработка модели нарушителя (в случае использования каналов связи для передачи ПДн);
  • проектирование системы защиты ПДн в составе информационной системы, обрабатывающей персональные данные (ИСПДн);
  • разработка комплекта организационно-распорядительных документов по защите персональных данных;
  • внедрение системы защиты персональных данных;
  • аттестация информационной системы персональных данных по требованиям безопасности информации.

В соответствии со статьей 24 федерального закона «лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность». На практике нарушение требований федерального закона может привести к одному из следующих последствий:

  • приостановление или прекращение обработки персональных данных (ПДн), осуществляемой с нарушением требований ФЗ «О персональных данных»;
  • направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов ПДн;
  • приостановка действия или лишение лицензий, без которых деятельность по обработке персональных данных становится незаконной;
  • конфискации несертифицированных средств защиты информации. С учетом того что определенные механизмы безопасности интегрированы в общесистемное и прикладное ПО, в ряде случаев возможна конфискация серверов и рабочих станций, обрабатывающих персональные данные;
  • привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей Уголовного и Административного кодексов.

Кроме того, согласно пункту 3 статьи 21, «в случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные». При этом очевидно, что уничтожение персональных данных для организаций, работающих с физическими лицами, например для банков или страховых компаний, равносильно приостановке бизнеса.

В настоящее время многие критикуют Федеральный закон «О персональных данных» за излишне жесткие требования и рассматривают его как очередной повод для государственных регуляторов к проведению тех или иных проверок. Сегодня можно с уверенностью сказать, что принятие закона позволило привлечь внимание руководства российских компаний к проблеме обеспечения информационной безопасности. Так, если раньше во многих организациях подразделения, отвечающие за защиту информации, финансировались по остаточному принципу, то теперь благодаря закону они полноценным образом участвуют в процессе планирования затрат на решения по защите информации.

  1. Реадмиссия – передача запрашивающим государством и принятие запрашиваемым государством лиц (граждан запрашиваемого государства, граждан третьих государств или лиц без гражданства), чей въезд, пребывание или проживание в запрашивающем государстве признаны незаконными.
  2. Уполномоченное лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru