PrimaMedia, 12 апреля 2011. Владивосток, 12 апреля, PrimaMedia. В целях обеспечения безопасности персональных данных, "операторы" обязаны привести в соответствие с требованиями Федерального закона № 152 "О персональных данных" информационные системы персональных данных в срок до 1 июля 2011 года. Данный вопрос был рассмотрен на заседании Совета по информационной безопасности при Губернаторе Приморского края, которое состоялось 7 апреля 2011 года.
Под персональными данными согласно законодательству понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. "Оператором" выступает государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных.
Как видно, закон затронул абсолютно все организации независимо от формы собственности, в которых осуществляется обработка персональных данных: работников, клиентов, потребителей услуг, пациентов, учащихся, получателей субсидий и т.д. и т.п.
Уполномоченным органом по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций) формируется реестр "операторов" персональных данных, проводятся плановые и внеплановые проверки "операторов" в целях обеспечения контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона № 152.
С 01 июля 2011 года проверки "операторов" персональных данных будут проводить ФСТЭК России и ФСБ России.
Комментарии по вопросу приведения в соответствие с требованиями Федерального закона № 152 "О персональных данных" информационных систем персональных данных РИА PrimaMedia дал генеральный директор компании "ЦБИ Модус", специализирующейся на оказании услуг в области информационной безопасности - Александр Мельников:
Федеральный закон № 152 "О персональных данных" четко определил обязанность "оператора" - принять необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Конкретные требования к обеспечению безопасности персональных данных утверждены Постановлением Правительства РФ от 17 ноября 2007 г. № 781.
ФСТЭК России и ФСБ России разработаны нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Постановлением Правительства РФ.
На указанные органы возложено осуществление контроля и надзора за выполнением требований к обеспечению безопасности персональных данных, в ходе проверок "операторов" будет оцениваться достаточность принятых "оператором" мер по обеспечению безопасности персональных данных при их обработке в информационных системах.
Что необходимо сделать "операторам" для выполнения требований закона "О персональных данных" в части касающейся обеспечения безопасности (защиты) персональных данных при их обработке в информационных системах.
При обработке персональных данных в информационных системах существует угроза несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным. Наличие источника угрозы и уязвимого звена в информационной системе, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы.
В связи с этим "оператору" необходимо в соответствии с методическими документами ФСТЭК России и ФСБ России определить угрозы безопасности персональных данных при их обработке и сформировать на их основе "Модель угроз".
При этом необходимо отметить, что "Модель угроз" разрабатывается для каждой информационной системы, в которой обрабатывается персональные данные, а их в организации может быть несколько. Это обусловлено требованием закона "О персональных данных" - недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. То есть, персональные данные работников организации и ее клиентов не могут обрабатываться в одной информационной системе. Сведения о работниках обрабатываются в соответствии с Трудовым кодексом, а клиентов, например, в соответствии с законодательством о страховании и т.д.
Далее "оператор" разрабатывает на основе "Модели угроз" систему защиты персональных данных, обеспечивающую нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем. Методы и способы защиты персональных данных установлены ФСТЭК России и ФСБ России.
Система защиты персональных данных разрабатывается для каждой информационной системы, в которой обрабатывается персональные данные. Методы и способы защиты персональных данных реализуются как организационными мерами, так и применением сертифицированных средств защиты информации. В соответствии с разработанной системой защиты персональных данных "оператор" приобретает необходимые средства защиты информации, формирует перечень организационных мер и издает необходимые приказы и распоряжения, реализующие методы и способы защиты персональных данных.
Это достаточно краткое описание основных, но достаточно сложных мероприятий по обеспечению безопасности (защиты) персональных данных. Кроме них необходимо выполнить все требования к обеспечению безопасности персональных данных, установленные Постановлением Правительства РФ от 17 ноября 2007 г. № 781.
Безусловно, для формирования "Модели угроз" и разработки на ее основе системы защиты персональных данных необходимо проделать большую работу по анализу информационных ресурсов, например:
Проведение анализа информационных ресурсов позволит также провести оптимизацию процессов обработки персональных данных с целью снижения затрат на защиту информационных систем персональных данных. Прямое внедрение мер по защите персональных данных приведет к неоправданному удорожанию системы защиты с возможной потерей эффективности процессов обработки персональных данных.
Все нормативные правовые акты и методические документы, необходимые для выполнения требований к обеспечению безопасности персональных данных имеются в открытом доступе, необходимо только воспользоваться данными документами и выполнить требования Федерального закона № 152 "О персональных данных".
Лица, виновные в нарушении требований закона "О персональных данных", несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Я хотел бы обратить внимание "операторов" на иные возможные последствия неисполнения закона "О персональных данных".
В случае невыполнения требований по защите персональных данных, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций обязана по представлению ФСТЭК России или ФСБ России принять меры по приостановлению или прекращению обработки персональных данных – проще говоря: у "оператора" отзовут лицензию на тот вид деятельности, в рамках которого он осуществляет обработку персональных данных.
Но не стоит также забывать, что любой гражданин РФ, чьи персональные данные в силу различных правовых оснований обрабатываются в информационных системах организаций - это "потенциальный истец" по защите своих прав в случае утечки его персональных данных, отсюда возможна также недобросовестная конкуренция и т.д. и т.п.
Справка: ООО "ЦБИ Модус" - компания специализирующаяся на оказании услуг в области информационной безопасности, имеющая соответствующие лицензии ФСТЭК России и ФСБ России, готова оказать услуги по выполнению требований по обеспечению безопасности персональных данных.
Партнерами ООО "ЦБИ Модус" являются крупные разработчики и производители средств защиты информации.
В настоящее время "ЦБИ Модус" совместно с партнерами "ВДК-КомДэк" и компанией "Аксимед" (г.Москва) готова предложить решения по обеспечению безопасности персональных данных при их обработке в информационных системах: