Защита персональных данных: кто виноват и что делать?

0 915

1 января 2010 года закончился срок, отведенный 152-ФЗ на выполнение требований, предъявляемых законом к работе с персональными данными, обеспечивающему защиту интересов субъектов этих персональных данных. Вкратце разобраться в двух сакральных вопросах — «Кто виноват?» и «Что делать?» мы попробуем при помощи данной статьи.

КТО ВИНОВАТ?
Вопрос о конфиденциальных данных впервые возник в Указе Президента РФ 6.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера». Там впервые персональные данные физических лиц были идентифицированы как конфиденциальные данные на законодательном уровне.
Закон 152 ФЗ «О персональных данных» был принят в 2006 году. В нем оговорены основные позиции государства насчет вопросов персональных данных и их защиты. Основные моменты этого закона:

  • Персональные данные — это любая информация, относящаяся к конкретному физическому лицу.
  • Любая организация или физическое лицо, имеющее дело с персональными данными в процессе профессиональной деятельности является оператором персональных данных. Т. е., если по-русски, ВСЕ организации и индивидуальные предприниматели в той или иной степени затрагиваются этим законом.
  • Всем операторам нужно предпринять меры по юридическому оформлению и технической защите обрабатываемых персональных данных до 2010 года.

Законом также обозначаются регуляторы — государственные органы, которые уполномочены контролировать выполнение положений 152-ФЗ, этими регуляторами стали следующие органы:

  • РОСКОМНАДЗОР. СФЕРА ОТВЕТСТВЕННОСТИ — ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В ЦЕЛОМ.

Роскомнадзор отвечает за выполнение операторами юридических требований законодательных актов:

  • Регистрацию оператора в специальном реестре операторов персональных данных.
  • Создание «Положения об обработке персональных данных» — основного документа, определяющего, какие персональные данные, с какими целями и в течение какого срока обрабатывает оператор.
  • Создание административно — распорядительных документов, определяющих права и обязанности сотрудников или подразделений по работе с персональными данными.
  • Наличие бумажных разрешений субъектов персональных данных на их обработку в виде конкретных прописанных действий с их данными.
  • ФСТЭК. СФЕРА ОТВЕТСТВЕННОСТИ — ТЕХНИЧЕСКИЕ СРЕДСТВА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЗА ИСКЛЮЧЕНИЕМ КРИПТОГРАФИЧЕСКИХ СРЕДСТВ

ФСТЭК отвечает за выполнение операторами требований по технической защите данных:

  • Классификацию информационных систем, обрабатывающих персональные данные в зависимости от полноты данных и количества субъектов.
  • Использование сертифицированных средств защиты информации.
  • Сертификацию информационных систем операторов в случае потенциально опасных для субъектов и технологически сложных информационных систем.
  • Физическую защиту информации, в том числе, защиту от кражи информации при помощи считывания злоумышленниками электромагнитных наводок и звуковых колебаний.
  • ФСБ

Федеральная служба безопасности отвечает за использование сертифицированных средств шифрования в случаях, когда информационная система содержит большое количество потенциально опасной информации о людях, например, информации о состоянии здоровья.

ПОЛНОМОЧИЯ И ТРЕБОВАНИЯ РЕГУЛЯТОРОВ ОПИСАНЫ В СЛЕДУЮЩИХ НОРМАТИВНЫХ ДОКУМЕНТАХ:

  • Постановление Правительства Российской Федерации от 17 ноября 2007 года №  781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
  • Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года №  55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

РУКОВОДЯЩИЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ ФСТЭК РОССИИ:

  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
  • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
  • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

РУКОВОДЯЩИЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ ФСБ РОССИИ

  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не составляющей государственной тайны, в случае их использования в информационных системах персональных данных с использованием средств автоматизации.
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации.

ЧТО ДЕЛАТЬ?
Начинать следует с выполнения требований Роскомнадзора по юридическому оформлению обработки персональных данных. Действовать будем по алгоритму:

1. ПРОВЕДЕНИЕ АУДИТА ДАННЫХ, ХРАНИМЫХ О СОТРУДНИКАХ, КЛИЕНТАХ, ПОСЕТИТЕЛЯХ, ПАРТНЕРАХ И ДРУГИХ ФИЗИЧЕСКИХ ЛИЦАХ
Без жалости убрать все данные, обработка которых не является необходимой! Например, хранение характеристики на сотрудников, содержащих сведения о политических, религиозных взглядах, возможно, следует упразднить, если нет реальной бизнес-ценности в этих данных. По итогам аудита необходимо документировать перечень персональных данных, цели и сроки обработки и хранения персональных данных. Аудит поможет определить способы обработки персональных данных, от которых зависят дальнейшие действия.

2. НУЖНО ЛИ ПОДАВАТЬ УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОСКОМНАДЗОР?
Закон «О персональных данных» разрешает обработку без уведомления, если обрабатываются только данные сотрудников и данные по договорным отношениям с юрлицами, если данные являются общедоступными и обрабатываются без использования средств автоматизации, а также еще в ряде случаев. Однако нужно понимать, что организация, работающая только с внутренними данными, закрытая от внешнего мира — это, все-таки, абстракция. Следует еще раз все оценить, если Вы приходите к такому выводу. Во всех остальных случаях предприятие обязано подать уведомление на внесение в реестр операторов персональных данных. Форма уведомления доступна в Интернете. Уведомление должно быть направлено в письменной форме с подписью уполномоченного лица или в электронном виде с цифровой подписью.

3. КОМПЛЕКС МЕРОПРИЯТИЙ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Необходимо разработать организационно-распорядительные документы, которые будут регламентировать работу с персональными данными на Вашем предприятии.
Среди них:

  • положение о персональных данных (инструкции администраторов и пользователей, регламенты взаимодействия с субъектами персональных данных и передаче данных третьим лицам и т.д.) ,
  • приказ об утверждении списка лиц, обрабатывающих ПД,
  • приказ о назначении лица, ответственного за организацию мер по защите ПД,
  • приказ об утверждении мест хранения материальных носителей ПД,
  • доверенность на физ.лицо, представляющее интересы организации при проверке.

Также должны быть в наличие:

  • книга учета обращений субъектов ПД об обработке их ПД,
  • журнал учета проверок.

Перечень документов можно продолжить. Здесь представлено только самое необходимое. Примеры таких документов доступны в Интернете. Напомним, что данный этап обязателен для всех организаций без исключений!

4. ДЛЯ ОРГАНИЗАЦИИ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ПД НУЖНО ПРИСТУПИТЬ К РАБОТЕ С ИНФОРМАЦИОННЫМИ СИСТЕМАМИ
Начать нужно с понимания, доступ к персональным данным с каких компьютеров является необходимым для целей бизнеса? Если есть возможность упразднить доступ к данным для всей сети или для большей ее части, то это стоит сделать — чем более простой будет информационная система, в которой производится обработка, тем более надежной она будет и тем меньше требований регуляторов, удовлетворение которых стоит больших денег, к системе будет предъявляться.
На этом этапе стоит оценить свои силы — способна ли ваша организация самостоятельно удовлетворить всем техническим требованиям или стоит привлечь стороннюю организацию, специализирующуюся на предоставлении услуг такого типа. Этот выбор может быть не всегда очевидным и стоит оценивать и соотносить риски и затраты очень ответственно.
Если Вы решили выполнять работы самостоятельно — стоит вооружиться методическими документами ФСТЭК и ФСБ для более полного понимания требований и процессов. Работы и затрат на этом этапе будет много, но это тема для отдельной статьи.

СВЕТ В КОНЦЕ ТОННЕЛЯ ИЛИ ОТСРОЧКА?
На момент написания статьи Государственная Дума практически единогласно приняла поправки к закону об отсрочке некоторых требований закона и смягчении некоторых положений. Единство взглядов, продемонстрированное депутатами, позволяет надеяться на то, что закон пройдет дальнейшие этапы согласования и будет принят. Что он меняет? Он дает всем еще один год, чтобы все привести в порядок. Но это не повод вздохнуть с облегчением и забыть про все до 2011 года!

Заниматься обеспечением безопасности персональной информации необходимо уже сегодня, так как, во-первых, отсрочиваются только требования по технической защите, юридические требования будут проверяться по все строгости. Во-вторых, требований к техническим средствам довольно много и год позволит распределить финансовые затраты более-менее равномерно и успеть подготовиться к встрече с регуляторами без финансовых и репутационных потерь. Поэтапная работа по реализации закона «О персональных данных» поможет сделать все необходимые действия в назначенный срок и будет залогом стабильного и уверенного бизнеса.

Источник: компания «ГЭНДАЛЬФ»

Поделиться

Комментарии

Отменить