|
Общие сведения
После того, как Государственная Дума ратифицировала Конвенцию Совета Европы «О защите личности в связи с автоматической обработкой персональных данных», на РФ обрушился целый ряд обязательств по приведению деятельности по защите прав субъектов персональных данных в соответствии с нормами европейского законодательства. В связи с этим, был принят федеральный закон №152 «О защите персональных данных» от 27.07.2006г. Этот закон регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. Таким образом, требования закона «О защите персональных данных» распространяются на все государственные и коммерческие организации, обрабатывающие в своих информационных системах персональные данные физических лиц (сотрудников, клиентов, партнеров). Так же закон устанавливает обязанности при обработке ПДн: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».
Что же понимают под защитой персональных данных?
Защита персональных данных - это комплекс технических и организационных мер, направленных на защиту сведений, относящихся к определенному или определяемому на основании такой информации физическому лицу.
К техническим мерам относятся:
- Способы защиты информации, обрабатываемой техническими средствами информационной системы, от несанкционированного, том числе случайного, доступа к персональным данным.
- Способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным.
- Способы защиты информации, передаваемой по информационно-телекоммуникационным сетям, от несанкционированного доступа.
К организационным мерам, прежде всего, относятся:
- разработка комплекта организационно- распорядительной документации (должностные инструкции, порядок доступа к ПДн и др.)
- ограничение доступа в помещение, где обрабатываются ПДн, расположение узлов ИСПДн вдали от границы охраняемой зоны и др.
Деятельность по защите персональных данных регламентируется более 25 нормативными актами:
- ФЗ № 152 «О защите персональных данных»;
- Постановление правительства РФ №781 «Порядок обеспечения безопасности ПДн при использовании средств автоматизации»;
- Приказ ФСТЭК №58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»;
- Группа документов уполномоченных органов: Роскомнадзор, ФСТЭК, ФСБ.
Исходя из этих нормативных документов, операторам необходимо соблюдать огромное количество требований и рекомендаций по обработке и использованию персональных данных. Вот только некоторые из них:
- Разработать модель угроз;
- Разработать документацию по обеспечению безопасности ПДн (политики, приложения, регламенты, должностные инструкции и т.д.);
- Выбрать и реализовать методы и способы защиты информации в информационной системе.
Следует отметить, что защита персональных данных – это лицензируемый вид деятельности, так как персональные данные относятся к конфиденциальной информации (указ президента РФ №188 «Об утверждении перечня сведений конфиденциального характера»). В связи с этим, закон «О защите персональных данных» указывает о необходимости защиты конфиденциальной информации. В статье 17 ФЗ № 128 «О лицензировании отдельных видов деятельности» деятельность по технической защите конфиденциальной информации относится к лицензируемым видам деятельности – требование федерального закона, такая уж реальность. Вот мы и пришли к тому, что для осуществления мероприятий по защите персональных данных (даже для собственных нужд) необходима лицензия ФСТЭК на техническую защиту конфиденциальной информации. Перед операторами ПДн стоит вопрос, получать ли лицензию самостоятельно, затратив огромное количество средств, сил и времени, или же обратиться к сторонним организациям, оказывающим услуги по защите персональных данных, и получить систему защиты персональных данных, как говорится, «под ключ».
Невыполнение требований 152 Федерального закона.
С 1 января 2011 года вступил в силу ФЗ №359 «О внесении изменения в статью 25 федерального закона «О персональных данных», согласно которому, информационные системы персональных данных, созданные до 1 января 2011 года, должны быть приведены в соответствие с требованиями Федерального закона №152 не позднее 1 июля 2011 года. Однако при переносе сроков аттестации информационных систем, план проверок Роскомнадзора и ФСТЭК не был отменен, и они осуществляются повсеместно, в части контроля за соблюдением режима работ с персональными данными, т.е. проведение классификации информационных систем, разработка организационно-распорядительной документации. В случае выявления нарушений, уполномоченный орган, помимо штрафа, выписывает компании предписание об устранении нарушения в самые короткие сроки, поэтому к визиту проверяющих органов лучше подготовиться заранее.
В самом же Федеральном Законе №152-ФЗ «О персональных данных» указано «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».
Теперь решать Вам, когда и с какими затратами подготовиться к приходу регуляторов.
Компания «Медотрейд» предоставляет весь спектр услуг по защите персональных данных. Подробнее.
|
