Информационный портал ITSZ

Оригинал документа: http://spbit.su/news/n95734/


     
 

ФЗ № 152 по-прежнему популярен

15.04.2011 04:24
Тема вступления в силу ФЗ № 152 «О персональных данных», и связанные с этим вопросы, вызвавшие в свое время бурное обсуждение, не теряет своей актуальности. Дело в том, что за прошедшее время сроки, до которых операторы персональных данных должны привести свои системы обработки персональных данных, запущенные до 1 января 2010 года, в соответствие с законом, переносились несколько раз. И на данный момент крайним сроком является 1 июля 2011 года, которое все ближе. Вчера в Петербурге прошел учебно-практический семинар, посвященный теме защиты персональных данных, организаторами которого выступили Роскомнадзор и Московский технический университет связи и информатики. В ходе мероприятия представители регуляторов (ФСТЭК и Роскомнадзор), среди прочего рассказали об алгоритмах действия, необходимых для приведения систем обработки персональных данных в соответствие с ФЗ №152, а также о тех нарушениях, с которыми сталкиваются регуляторы при проведении проверок операторов персональных данных на соответствие закону.

Напомним, что в соответствии с Федеральным законом  №152 «О персональных данных», в России существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (ПДн). Такие компании, организации и физические лица относятся к операторам персональных данных.

Согласно ФЗ №152, а также ряду подзаконных актов и руководящих документов регулирующих органов, которыми в данном вопросе являются ФСТЭК, ФСБ и  Роскомнадзор, операторы ПДн должны выполнить ряд требований по защите персональных данных физических лиц, обрабатываемых в информационных системах (ИСПДн) компании.

В рамках прошедшего вчера, 15 апреля 2011 года семинара, представители ФСТЭК рассказали о последовательности и содержании основных работ по приведению в соответствие с законом ИСПДн в области их защиты. Работы в этом направлении ведутся как со стороны оператора персональных данных, так и со стороны регулирующих органов.

Среди работ по организации защиты ПДн были названы, к примеру, сбор и составление перечня обрабатываемых ПДн, а также составление перечня ИСПДн. Также необходимо составить список лиц в компании, допущенных к обработке ПДн и получить письменное согласие субъекта персональных данных на обработку своих персональных данных. Кроме того, для приведения ИСПДн в соответствие с законом необходимо провести классификацию систем обработки ПДн и построить модель угроз ИСПДн.  Также нужно направить уведомление об обработке персональных данных регулятору.    

Примечательным является то, что порядок проведения работ по организации защиты конфиденциальной информации на сегодняшний день определяет в числе прочего документ под названием «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТРК) принятый ФСТЭК. Документ является документом «для служебного пользования». Требования СТРК распространяются на органы власти (как федеральные, так и региональные) и на государственные организации. Для остальных организаций СТРК носит рекомендательный характер, но при этом рекомендуется придерживаться норм, прописанных в СТРК.

Говоря о порядке применения методологических документов ФСТЭК при выборе методов и способов защиты информации в ИСПДн, представители ФСТЭК выделили несколько моментов. В частности, определение актуальности каждой угрозы ИСПДн производится путем сопоставления двух основных параметров «показатель опасности угрозы» и «вероятность реализации угрозы», в результате чего формируется перечень актуальных угроз. Параллельно с этим производится классификация ИСПДн, в ходе которой производится сбор информации, определение и анализ классификационных признаков. В результате ИСПДн присваивается соответствующий класс (всего существует четыре класса информационных систем ПДн). На основе перечня актуальных угроз и класса, присвоенного ИСПДн, производится определение конкретных методов и способов защиты информации в ИСПДн.

В свою очередь,  принимавшие участие в семинаре представители Роскомнадзора рассказали о наиболее частых нарушениях, с которыми сталкивается регулятор при проведении проверок операторов персональных данных на соответствие закону. Среди таких нарушений были отмечены несоответствие порядка обработки и защиты информации, содержащей персональные данные, а также отсутствие полученного от субъекта ПДн согласия на обработку персональных данных. Кроме того, зачастую операторы персональных данных передают эти данные сторонним организациям или распространяют их без соответствующих оснований, а также нередко не информируют субъект ПДн о том, что его данные обрабатываются. Говоря о конкретных примерах незаконных действий операторов ПДн, было, к примеру, отмечено что зачастую такие организации как ЖКХ размещают для всеобщего доступа (в сети Интернет или другими способами) персонифицированную информацию (с указанием имени, фамилии, адреса проживания и так далее) о должниках по коммунальным услугам. В такой ситуации субъект ПДн, чьи данные были обнародованы, имеет право обратиться в суд.   

Автор: Денис Шишулин (info@mskit.ru)

Рубрики: Регулирование, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
   
     


Copyright 2004 ITSZ. Все права защищены
Перепечатка материалов приветствуется при ссылке на www.ITSZ.spbit.su
Ресурс разработан и поддерживается компанией Peterlink Web