Сложно, но можно. Как защитить персональные данные на предприятии?::Журнал СА 9.2009
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6227
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6933
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4217
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3009
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3807
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3824
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6317
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3172
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3462
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7279
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10647
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12367
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14000
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9126
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7079
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5389
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4617
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3428
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3156
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3402
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3027
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Сложно, но можно. Как защитить персональные данные на предприятии?

Архив номеров / 2009 / Выпуск №9 (82) / Сложно, но можно. Как защитить персональные данные на предприятии?

Рубрика: Закон есть закон

 ЮЛИЯ ШТОКАЛО, юрист, специализируется  в области гражданского права, права информационных технологий, налогового права. Сфера интересов: юридическое сопровождение

Сложно, но можно
Как защитить персональные данные на предприятии?

С 1 января 2010 года все информационные системы персональных данных должны быть приведены в соответствие с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Было бы очень интересно увидеть в «СА» статью, касающуюся подразделений ИТ,
в связи с вступлением в силу ФЗ №152 «О персональных данных».
Алексей, г. Санкт-Петербург

Плюсы и минусы

В Законе «О персональных данных» есть ряд плюсов и минусов. К числу плюсов можно отнести то, что на законодательном уровне определено понятие «персональные данные». Установлены их защита, а также порядок обработки персональных данных. И наконец, закон должен сыграть положительную роль в борьбе с утечками информации в организациях и на предприятиях.

К числу минусов закона относится, во-первых, отсутствие какой бы то ни было практики по данному вопросу. Поэтому не исключается различное трактование положений закона, как операторами, так и государственным органом, уполномоченным осуществлять контрольные функции, а следовательно, неизбежно наличие споров. Во-вторых, необходимо наличие лицензии на техническую защиту конфиденциальной информации во всех случаях, включая те, когда обработка персональных данных осуществляется для собственных нужд (например, в рамках трудовых отношений). Это фактически распространяет действие закона на любое лицо, собирающее сведения не для личных, семейных нужд. В-третьих, понадобится модернизация информационно-технической инфраструктуры компании, а также внедрение новых продуктов информационно-технической безопасности, что потребует дополнительных затрат трудовых и финансовых ресурсов.

Кто есть who?

Согласно закону под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

В соответствии с положениями закона оператор - это государственный орган, муниципальный орган, юридическое и физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных, т.е. к числу операторов фактически можно отнести любое юридическое лицо и физическое лицо, обрабатывающее персональные данные.

Действие закона не распространяется на отношения, возникающие при:

  • обработке персональных данных физическими лицами для личных и семейных нужд;
  • при обработке персональных данных в соответствии с законодательством об архивном деле в Российской Федерации;
  • при обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физическом лице в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
  • при обработке персональных данных, отнесенных к сведениям, составляющим государственную тайну.

Алгоритм действий организации

Теперь относительно приведения базы данных предприятия в соответствии с положениями закона. Организация должна:

Разработать и внедрить новые локальные акты, с которыми работники должны быть ознакомлены под роспись. (Например, Положение о персональных данных и их защите; Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные; Регламент допуска сотрудников к обработке персональных данных; Перечень допущенных сотрудников к обработке персональных данных.) В локальных актах необходимо определить перечень, цели и порядок обработки персональных данных, назначить ответственных за работу с персональными данными, подготовить должностные инструкции сотрудников, обрабатывающих персональные данные.

Получить от каждого работника письменное согласие на обработку его персональных данных. Данное согласие должно включать в себя обязательные поля, перечень которых указан в пункте 4 статьи 9 Закона «О персональных данных».

Отнести предприятие к одному из четырех классов информационных систем, которые устанавливаются в соответствии с Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Цель классификации - установить методы и способы защиты информации. Результаты классификации информационных систем оформляются соответствующим актом оператора.

Обеспечить техническую защиту персональных данных. Она должна осуществляться в соответствии с методическими документами ФСТЭК России (документы ДСП), которые можно получить в данной организации. Это «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» от 15 февраля 2008 года. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года. «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года.

Провести аттестацию информационной системы персональных данных (сертификации системы защиты персональных данных). Проводить аттестацию информационной системы персональных данных вправе только организация, которая обладает лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации (в лицензии должно быть указано, что организация имеет право оказывать данные услуги). Для защиты персональных данных можно использовать только сертифицированные средства защиты персональных данных. На сайте ФСТЭК России (http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls) можно ознакомиться с Реестром сертифицированных средств защиты информации. На сайте ФСБ России (http://www.fsb.ru/fsb/supplement/contact/lsz/perechen.htm) можно ознакомиться с Перечнем средств защиты информации, не содержащей сведений, составляющих государственную тайну.

Операторы, которые осуществляют обработку персональных данных, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных. Уведомление об обработке персональных данных (за исключением случаев, перечисленных в п.2 ст. 22 Закона) - http://38.rsoc.ru/.cmsc/upload/documents/uvedomlenie_01.06.2009.doc.

В качестве альтернативного варианта вместо проведения процедуры получения аттестации и сертификации можно заключить договор аутсорсинговых услуг с компанией, обладающей необходимыми лицензиями и сертификатами.

За нарушение норм, регулирующих получение, обработку и защиту персональных данных, предусмотрена гражданско-правовая, административная или уголовная ответственность. Работодатель вправе привлечь к дисциплинарной ответственности сотрудника, который обязан отвечать за хранение персональной информации, однако способствовал ее распространению.

Несмотря на сложности в применении закона на практике, необходимость его принятия давно назрела. Везде можно встретить копии баз данных с адресами, телефонами частных лиц, украденных у владельцев соответствующих баз данных. С введением в силу Закона «О персональных данных» количество такого рода баз должно сократиться, а в идеале они должны исчезнуть.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru