Сложно, но можно. Как защитить персональные данные на предприятии?::Журнал СА 9.2009
www.samag.ru
Журнал «БИТ. Бизнес&Информационные технологии»      
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Сетевая инфраструктура  

Как удаленная работа меняет подход к сетевой инфраструктуре?

С увеличением числа сотрудников, работающих из дома, организации сталкиваются с необходимостью создания

 Читать далее...

Мониторинг  

Какой мониторинг нужен сегодня?

По мнению экспертов ГК InfoWatch, действия сотрудников – самая распространенная причина инцидентов

 Читать далее...

Книжная полка  

Руководство для тех, кто увлечен ИИ, программированием. И дизайном

Накануне лета издательство «БХВ» выпустило книжные новинки, от которых любителям чтения будет

 Читать далее...

Мобильные приложения  

Искусственный интеллект в мобильных приложениях: возможности и перспективы

Обзор современных применений ИИ в мобильных приложениях, анализ перспектив развития этой технологии,

 Читать далее...

ИТ-образование  

Как сделать ИТ-образование эффективным?

Эксперты ИТ-отрасли отвечают на вопросы «СА». Обсуждаем ключевые аспекты для улучшения образовательных

 Читать далее...

Work-life balance  

Как айтишнику найти баланс между работой и личной жизнью?

Обсуждаем инструменты для эффективного управления временем, снижения уровня стресса и достижения гармонии. На

 Читать далее...

Книжная полка  

Всё самое нужное – под одной обложкой

Отличительная черта книжных новинок, выпущенных недавно издательством «БХВ» – это их универсальность. Не просто

 Читать далее...

ИТ-инфраструктура  

Системы мониторинга ИТ-инфраструктуры-2025

Без мониторинга ИТ-инфраструктуры не обходится ни одна компания, хотя бы потому, что

 Читать далее...

Открытое ПО  

Безопасность Open Source: рискуем или контролируем?

Компания «Кросс технолоджис» изучила, как используется ПО с открытым кодом в компаниях

 Читать далее...

Работа с нейросетью  

Скажи, есть ли у тебя AI, и я скажу, кто ты

Недавно сервис по поиску работы SuperJob выяснил, что каждый второй россиянин уже

 Читать далее...

Опрос  

Защита личных и клиентских данных: как мошенники используют ИИ и как защититься?

По данным RED Security, общее число кибератак на российские компании в 2024

 Читать далее...

Опрос  

Облачные инструменты для разработчиков

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Как с помощью облака сделать

 Читать далее...

Опрос  

Рынок мобильных приложений: что будет актуальным в 2025 году?

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Ваши прогнозы: чего ожидать от

 Читать далее...

Рынок труда  

Как успешно пройти все этапы собеседования на ИТ-должность?

По оценкам государства, дефицит ИТ-специалистов составляет от 740 тысяч до 1 миллиона

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 8183
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 8438
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 5767
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3619
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 4407
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 4411
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6969
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3762
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 4029
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7937
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 11293
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 13009
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14778
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9714
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7666
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5956
Комментарии: 4
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 5137
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3977
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3684
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3911
Комментарии: 1
Рецензия на книгу «MongoDB в действии»

 Читать далее...

Друзья сайта  

 Сложно, но можно. Как защитить персональные данные на предприятии?

Архив номеров / 2009 / Выпуск №9 (82) / Сложно, но можно. Как защитить персональные данные на предприятии?

Рубрика: Закон есть закон

 ЮЛИЯ ШТОКАЛО, юрист, специализируется  в области гражданского права, права информационных технологий, налогового права. Сфера интересов: юридическое сопровождение

Сложно, но можно
Как защитить персональные данные на предприятии?

С 1 января 2010 года все информационные системы персональных данных должны быть приведены в соответствие с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Было бы очень интересно увидеть в «СА» статью, касающуюся подразделений ИТ,
в связи с вступлением в силу ФЗ №152 «О персональных данных».
Алексей, г. Санкт-Петербург

Плюсы и минусы

В Законе «О персональных данных» есть ряд плюсов и минусов. К числу плюсов можно отнести то, что на законодательном уровне определено понятие «персональные данные». Установлены их защита, а также порядок обработки персональных данных. И наконец, закон должен сыграть положительную роль в борьбе с утечками информации в организациях и на предприятиях.

К числу минусов закона относится, во-первых, отсутствие какой бы то ни было практики по данному вопросу. Поэтому не исключается различное трактование положений закона, как операторами, так и государственным органом, уполномоченным осуществлять контрольные функции, а следовательно, неизбежно наличие споров. Во-вторых, необходимо наличие лицензии на техническую защиту конфиденциальной информации во всех случаях, включая те, когда обработка персональных данных осуществляется для собственных нужд (например, в рамках трудовых отношений). Это фактически распространяет действие закона на любое лицо, собирающее сведения не для личных, семейных нужд. В-третьих, понадобится модернизация информационно-технической инфраструктуры компании, а также внедрение новых продуктов информационно-технической безопасности, что потребует дополнительных затрат трудовых и финансовых ресурсов.

Кто есть who?

Согласно закону под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

В соответствии с положениями закона оператор - это государственный орган, муниципальный орган, юридическое и физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных, т.е. к числу операторов фактически можно отнести любое юридическое лицо и физическое лицо, обрабатывающее персональные данные.

Действие закона не распространяется на отношения, возникающие при:

  • обработке персональных данных физическими лицами для личных и семейных нужд;
  • при обработке персональных данных в соответствии с законодательством об архивном деле в Российской Федерации;
  • при обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физическом лице в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
  • при обработке персональных данных, отнесенных к сведениям, составляющим государственную тайну.

Алгоритм действий организации

Теперь относительно приведения базы данных предприятия в соответствии с положениями закона. Организация должна:

Разработать и внедрить новые локальные акты, с которыми работники должны быть ознакомлены под роспись. (Например, Положение о персональных данных и их защите; Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные; Регламент допуска сотрудников к обработке персональных данных; Перечень допущенных сотрудников к обработке персональных данных.) В локальных актах необходимо определить перечень, цели и порядок обработки персональных данных, назначить ответственных за работу с персональными данными, подготовить должностные инструкции сотрудников, обрабатывающих персональные данные.

Получить от каждого работника письменное согласие на обработку его персональных данных. Данное согласие должно включать в себя обязательные поля, перечень которых указан в пункте 4 статьи 9 Закона «О персональных данных».

Отнести предприятие к одному из четырех классов информационных систем, которые устанавливаются в соответствии с Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Цель классификации - установить методы и способы защиты информации. Результаты классификации информационных систем оформляются соответствующим актом оператора.

Обеспечить техническую защиту персональных данных. Она должна осуществляться в соответствии с методическими документами ФСТЭК России (документы ДСП), которые можно получить в данной организации. Это «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» от 15 февраля 2008 года. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года. «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года.

Провести аттестацию информационной системы персональных данных (сертификации системы защиты персональных данных). Проводить аттестацию информационной системы персональных данных вправе только организация, которая обладает лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации (в лицензии должно быть указано, что организация имеет право оказывать данные услуги). Для защиты персональных данных можно использовать только сертифицированные средства защиты персональных данных. На сайте ФСТЭК России (http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls) можно ознакомиться с Реестром сертифицированных средств защиты информации. На сайте ФСБ России (http://www.fsb.ru/fsb/supplement/contact/lsz/perechen.htm) можно ознакомиться с Перечнем средств защиты информации, не содержащей сведений, составляющих государственную тайну.

Операторы, которые осуществляют обработку персональных данных, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных. Уведомление об обработке персональных данных (за исключением случаев, перечисленных в п.2 ст. 22 Закона) - http://38.rsoc.ru/.cmsc/upload/documents/uvedomlenie_01.06.2009.doc.

В качестве альтернативного варианта вместо проведения процедуры получения аттестации и сертификации можно заключить договор аутсорсинговых услуг с компанией, обладающей необходимыми лицензиями и сертификатами.

За нарушение норм, регулирующих получение, обработку и защиту персональных данных, предусмотрена гражданско-правовая, административная или уголовная ответственность. Работодатель вправе привлечь к дисциплинарной ответственности сотрудника, который обязан отвечать за хранение персональной информации, однако способствовал ее распространению.

Несмотря на сложности в применении закона на практике, необходимость его принятия давно назрела. Везде можно встретить копии баз данных с адресами, телефонами частных лиц, украденных у владельцев соответствующих баз данных. С введением в силу Закона «О персональных данных» количество такого рода баз должно сократиться, а в идеале они должны исчезнуть.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru