1 января 2010 года закончился срок, отведенный 152-ФЗ на выполнение требований, предъявляемых законом к работе с персональными данными, обеспечивающему защиту интересов субъектов этих персональных данных. Вкратце разобраться в двух сакральных вопросах — «Кто виноват?» и «Что делать?» мы попробуем при помощи данной статьи.
КТО ВИНОВАТ?
Вопрос о конфиденциальных данных впервые возник в Указе Президента РФ 6.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера». Там впервые персональные данные физических лиц были идентифицированы как конфиденциальные данные на законодательном уровне.
Закон 152 ФЗ «О персональных данных» был принят в 2006 году. В нем оговорены основные позиции государства насчет вопросов персональных данных и их защиты. Основные моменты этого закона:
- Персональные данные — это любая информация, относящаяся к конкретному физическому лицу.
- Любая организация или физическое лицо, имеющее дело с персональными данными в процессе профессиональной деятельности является оператором персональных данных. Т. е., если по-русски, ВСЕ организации и индивидуальные предприниматели в той или иной степени затрагиваются этим законом.
- Всем операторам нужно предпринять меры по юридическому оформлению и технической защите обрабатываемых персональных данных до 2010 года.
Законом также обозначаются регуляторы — государственные органы, которые уполномочены контролировать выполнение положений 152-ФЗ, этими регуляторами стали следующие органы:
- РОСКОМНАДЗОР. СФЕРА ОТВЕТСТВЕННОСТИ — ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В ЦЕЛОМ.
Роскомнадзор отвечает за выполнение операторами юридических требований законодательных актов:
- Регистрацию оператора в специальном реестре операторов персональных данных.
- Создание «Положения об обработке персональных данных» — основного документа, определяющего, какие персональные данные, с какими целями и в течение какого срока обрабатывает оператор.
- Создание административно — распорядительных документов, определяющих права и обязанности сотрудников или подразделений по работе с персональными данными.
- Наличие бумажных разрешений субъектов персональных данных на их обработку в виде конкретных прописанных действий с их данными.
- ФСТЭК. СФЕРА ОТВЕТСТВЕННОСТИ — ТЕХНИЧЕСКИЕ СРЕДСТВА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЗА ИСКЛЮЧЕНИЕМ КРИПТОГРАФИЧЕСКИХ СРЕДСТВ
ФСТЭК отвечает за выполнение операторами требований по технической защите данных:
- Классификацию информационных систем, обрабатывающих персональные данные в зависимости от полноты данных и количества субъектов.
- Использование сертифицированных средств защиты информации.
- Сертификацию информационных систем операторов в случае потенциально опасных для субъектов и технологически сложных информационных систем.
- Физическую защиту информации, в том числе, защиту от кражи информации при помощи считывания злоумышленниками электромагнитных наводок и звуковых колебаний.
- ФСБ
Федеральная служба безопасности отвечает за использование сертифицированных средств шифрования в случаях, когда информационная система содержит большое количество потенциально опасной информации о людях, например, информации о состоянии здоровья.
ПОЛНОМОЧИЯ И ТРЕБОВАНИЯ РЕГУЛЯТОРОВ ОПИСАНЫ В СЛЕДУЮЩИХ НОРМАТИВНЫХ ДОКУМЕНТАХ:
- Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
- Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».
РУКОВОДЯЩИЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ ФСТЭК РОССИИ:
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
- Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
- Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
РУКОВОДЯЩИЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ ФСБ РОССИИ
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не составляющей государственной тайны, в случае их использования в информационных системах персональных данных с использованием средств автоматизации.
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации.
ЧТО ДЕЛАТЬ?
Начинать следует с выполнения требований Роскомнадзора по юридическому оформлению обработки персональных данных. Действовать будем по алгоритму:
1. ПРОВЕДЕНИЕ АУДИТА ДАННЫХ, ХРАНИМЫХ О СОТРУДНИКАХ, КЛИЕНТАХ, ПОСЕТИТЕЛЯХ, ПАРТНЕРАХ И ДРУГИХ ФИЗИЧЕСКИХ ЛИЦАХ
Без жалости убрать все данные, обработка которых не является необходимой! Например, хранение характеристики на сотрудников, содержащих сведения о политических, религиозных взглядах, возможно, следует упразднить, если нет реальной бизнес-ценности в этих данных. По итогам аудита необходимо документировать перечень персональных данных, цели и сроки обработки и хранения персональных данных. Аудит поможет определить способы обработки персональных данных, от которых зависят дальнейшие действия.
2. НУЖНО ЛИ ПОДАВАТЬ УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОСКОМНАДЗОР?
Закон «О персональных данных» разрешает обработку без уведомления, если обрабатываются только данные сотрудников и данные по договорным отношениям с юрлицами, если данные являются общедоступными и обрабатываются без использования средств автоматизации, а также еще в ряде случаев. Однако нужно понимать, что организация, работающая только с внутренними данными, закрытая от внешнего мира — это, все-таки, абстракция. Следует еще раз все оценить, если Вы приходите к такому выводу. Во всех остальных случаях предприятие обязано подать уведомление на внесение в реестр операторов персональных данных. Форма уведомления доступна в Интернете. Уведомление должно быть направлено в письменной форме с подписью уполномоченного лица или в электронном виде с цифровой подписью.
3. КОМПЛЕКС МЕРОПРИЯТИЙ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Необходимо разработать организационно-распорядительные документы, которые будут регламентировать работу с персональными данными на Вашем предприятии.
Среди них:
- положение о персональных данных (инструкции администраторов и пользователей, регламенты взаимодействия с субъектами персональных данных и передаче данных третьим лицам и т.д.) ,
- приказ об утверждении списка лиц, обрабатывающих ПД,
- приказ о назначении лица, ответственного за организацию мер по защите ПД,
- приказ об утверждении мест хранения материальных носителей ПД,
- доверенность на физ.лицо, представляющее интересы организации при проверке.
Также должны быть в наличие:
- книга учета обращений субъектов ПД об обработке их ПД,
- журнал учета проверок.
Перечень документов можно продолжить. Здесь представлено только самое необходимое. Примеры таких документов доступны в Интернете. Напомним, что данный этап обязателен для всех организаций без исключений!
4. ДЛЯ ОРГАНИЗАЦИИ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ПД НУЖНО ПРИСТУПИТЬ К РАБОТЕ С ИНФОРМАЦИОННЫМИ СИСТЕМАМИ
Начать нужно с понимания, доступ к персональным данным с каких компьютеров является необходимым для целей бизнеса? Если есть возможность упразднить доступ к данным для всей сети или для большей ее части, то это стоит сделать — чем более простой будет информационная система, в которой производится обработка, тем более надежной она будет и тем меньше требований регуляторов, удовлетворение которых стоит больших денег, к системе будет предъявляться.
На этом этапе стоит оценить свои силы — способна ли ваша организация самостоятельно удовлетворить всем техническим требованиям или стоит привлечь стороннюю организацию, специализирующуюся на предоставлении услуг такого типа. Этот выбор может быть не всегда очевидным и стоит оценивать и соотносить риски и затраты очень ответственно.
Если Вы решили выполнять работы самостоятельно — стоит вооружиться методическими документами ФСТЭК и ФСБ для более полного понимания требований и процессов. Работы и затрат на этом этапе будет много, но это тема для отдельной статьи.
СВЕТ В КОНЦЕ ТОННЕЛЯ ИЛИ ОТСРОЧКА?
На момент написания статьи Государственная Дума практически единогласно приняла поправки к закону об отсрочке некоторых требований закона и смягчении некоторых положений. Единство взглядов, продемонстрированное депутатами, позволяет надеяться на то, что закон пройдет дальнейшие этапы согласования и будет принят. Что он меняет? Он дает всем еще один год, чтобы все привести в порядок. Но это не повод вздохнуть с облегчением и забыть про все до 2011 года!
Заниматься обеспечением безопасности персональной информации необходимо уже сегодня, так как, во-первых, отсрочиваются только требования по технической защите, юридические требования будут проверяться по все строгости. Во-вторых, требований к техническим средствам довольно много и год позволит распределить финансовые затраты более-менее равномерно и успеть подготовиться к встрече с регуляторами без финансовых и репутационных потерь. Поэтапная работа по реализации закона «О персональных данных» поможет сделать все необходимые действия в назначенный срок и будет залогом стабильного и уверенного бизнеса.
Источник: компания «ГЭНДАЛЬФ»