Остаточный принцип отменен. Компании озаботились информационной безопасностью::Приложение к журналу СА №2(2010)
www.samag.ru
Льготная подписка для студентов      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
О журнале
Журнал «БИТ»
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

Jobsora


  Опросы

Какие курсы вы бы выбрали для себя?  

Очные
Онлайновые
Платные
Бесплатные
Я и так все знаю

 Читать далее...

1001 и 1 книга  
28.05.2019г.
Просмотров: 2302
Комментарии: 2
Анализ вредоносных программ

 Читать далее...

28.05.2019г.
Просмотров: 2291
Комментарии: 1
Микросервисы и контейнеры Docker

 Читать далее...

28.05.2019г.
Просмотров: 1836
Комментарии: 0
Django 2 в примерах

 Читать далее...

28.05.2019г.
Просмотров: 1356
Комментарии: 0
Введение в анализ алгоритмов

 Читать далее...

27.03.2019г.
Просмотров: 1873
Комментарии: 1
Arduino Uno и Raspberry Pi 3: от схемотехники к интернету вещей

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Остаточный принцип отменен. Компании озаботились информационной безопасностью

Архив номеров / 2010 / Выпуск №2 (2) / Остаточный принцип отменен. Компании озаботились информационной безопасностью

Рубрика: Безопасность /  Закон есть закон

Виктор Сердюк ВИКТОР СЕРДЮК, генеральный директор ЗАО «ДиалогНаука», CISSP, к.т.н., доцент кафедры «Информационные технологии» РГТУ им. К.Э. Циолковского

Остаточный принцип отменен
Компании озаботились информационной безопасностью

Персональные данные – сложный объект для регулирования. С одной стороны, они являются отражением частной жизни, неприкосновенность которой охраняется законом. С другой стороны, ПДн – это необходимый элемент социализации и юридическая основа для реализации правоспособности и дееспособности

Во многом это связано со вступлением в силу Федерального закона №152 «О персональных данных». Предпосылками к принятию данного закона являлись необходимость гармонизации российского и западного законодательства, а также желание предпринять конкретные шаги для повышения уровня защищенности персональных данных граждан.

В 2009–2010 годах были внесены некоторые изменения в законодательство о персональных данных. Федеральный закон №266-ФЗ внес изменения в ФЗ «О персональных данных» по вопросам реализации международных договоров Российской Федерации о реадмиссии [1].

При необходимости обработки персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии:

  • согласие субъекта персональных данных не требуется;
  • допускается обработка специальных категорий персональных данных;
  • обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных;
  • может осуществляться трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных.

Федеральный закон №363-ФЗ исключил обязанность оператора использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Тем не менее необходимо отметить, что использование средств криптографической защиты регламентируется нормативными документами ФСБ РФ и определяется на основе модели нарушителя. Закон также продлил срок, до которого информационные системы персональных данных должны быть приведены в соответствие с требованиями федерального закона.

Теперь информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями федерального закона не позднее 1 января 2011 года. При этом необходимо отметить, что те информационные системы, которые вводятся в эксплуатацию после 1 января 2010 года, уже должны соответствовать требованиям по защите персональных данных.

16 марта 2010 года вступил в силу приказ ФСТЭК России, в соответствии с которым принято «Положение о методах и способах защиты информации в информационных системах персональных данных».

Утвержденное положение определяет методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных операторами или уполномоченными лицами [2].

В связи с изданием приказа ФСТЭК России решением ФСТЭК России с 15 марта 2010 года для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных не применяются следующие методические документы ФСТЭК России:

  • «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденные заместителем директора ФСТЭК России 15 февраля 2008 года;
  • «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные заместителем директора ФСТЭК России 15 февраля 2008 года.

Таким образом, с 15 марта 2010 года методы и способы защиты информации в информационных системах персональных данных устанавливаются ФСТЭК России в следующих документах:

  • «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн»;
  • «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн»;
  • «Положения о методах и способах защиты информации в информационных системах персональных данных».

Необходимо отметить, что внесенные изменения не отменяют необходимость использования сертифицированных средств защиты информации, так как это требование содержится как в приказе ФСТЭК РФ №58, так и в постановлении Правительства РФ №781.

Согласно статье 19 федерального закона, «оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».

Кроме того, в соответствии с положениями закона обработка персональных данных может осуществляться только с согласия субъекта в письменной форме. В качестве альтернативы письменной формы согласия можно использовать электронную цифровую подпись. Однако в законе есть несколько исключений.

Еще одно требование сформулировано в 22-й статье федерального закона: «Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных». Однако и в данной статье предусмотрен ряд исключений. Так, например, если организация обрабатывает только персональные данные своих работников, то в этом случае она может вести обработку без уведомления уполномоченного органа.

В качестве уполномоченного органа выступает Роскомнадзор (www.rsoc.ru), на сайте которого можно получить информацию о форме уведомления и порядке ее заполнения. Именно Роскомнадзор с формальной точки зрения отвечает за соблюдение требований законодательства в области защиты персональных данных. На сайте регулятора можно ознакомиться с планом проверок на текущий и следующий годы, а также с некоторыми их результатами.

Для реализации требований Федерального закона «О персональных данных» необходимо создание и внедрение комплексной системы защиты. Как правило, процесс создания такой системы защиты включает в себя следующие основные этапы:

  • проведение обследования с целью оценки соответствия организации требованиям Федерального закона «О персональных данных»;
  • разработка модели угроз безопасности персональных данных (ПДн);
  • разработка модели нарушителя (в случае использования каналов связи для передачи ПДн);
  • проектирование системы защиты ПДн в составе информационной системы, обрабатывающей персональные данные (ИСПДн);
  • разработка комплекта организационно-распорядительных документов по защите персональных данных;
  • внедрение системы защиты персональных данных;
  • аттестация информационной системы персональных данных по требованиям безопасности информации.

В соответствии со статьей 24 федерального закона «лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность». На практике нарушение требований федерального закона может привести к одному из следующих последствий:

  • приостановление или прекращение обработки персональных данных (ПДн), осуществляемой с нарушением требований ФЗ «О персональных данных»;
  • направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов ПДн;
  • приостановка действия или лишение лицензий, без которых деятельность по обработке персональных данных становится незаконной;
  • конфискации несертифицированных средств защиты информации. С учетом того что определенные механизмы безопасности интегрированы в общесистемное и прикладное ПО, в ряде случаев возможна конфискация серверов и рабочих станций, обрабатывающих персональные данные;
  • привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей Уголовного и Административного кодексов.

Кроме того, согласно пункту 3 статьи 21, «в случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные». При этом очевидно, что уничтожение персональных данных для организаций, работающих с физическими лицами, например для банков или страховых компаний, равносильно приостановке бизнеса.

В настоящее время многие критикуют Федеральный закон «О персональных данных» за излишне жесткие требования и рассматривают его как очередной повод для государственных регуляторов к проведению тех или иных проверок. Сегодня можно с уверенностью сказать, что принятие закона позволило привлечь внимание руководства российских компаний к проблеме обеспечения информационной безопасности. Так, если раньше во многих организациях подразделения, отвечающие за защиту информации, финансировались по остаточному принципу, то теперь благодаря закону они полноценным образом участвуют в процессе планирования затрат на решения по защите информации.

  1. Реадмиссия – передача запрашивающим государством и принятие запрашиваемым государством лиц (граждан запрашиваемого государства, граждан третьих государств или лиц без гражданства), чей въезд, пребывание или проживание в запрашивающем государстве признаны незаконными.
  2. Уполномоченное лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru