1 января 2010 года закончился срок, отведенный 152-ФЗ на выполнение требований, предъявляемых законом к работе с персональными данными, обеспечивающему защиту интересов субъектов этих персональных данных. Вкратце разобраться в двух сакральных вопросах – «Кто виноват?» и «Что делать?» мы попробуем при помощи данной статьи.

КТО ВИНОВАТ?

Вопрос о конфиденциальных данных впервые возник в Указе Президента РФ 6.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера». Там впервые персональные данные физических лиц были идентифицированы как конфиденциальные данные на законодательном уровне.

Закон 152 ФЗ «О персональных данных» был принят в 2006 году. В нем оговорены основные позиции государства насчет вопросов персональных данных и их защиты. Основные моменты этого закона:

Персональные данные – это любая информация, относящаяся к конкретному физическому лицу.

Любая организация или физическое лицо, имеющее дело с персональными данными в процессе профессиональной деятельности является оператором персональных данных. Т. е., если по-русски, ВСЕ организации и индивидуальные предприниматели в той или иной степени затрагиваются этим законом.

Всем операторам нужно предпринять меры по юридическому оформлению и технической защите обрабатываемых персональных данных до 2010 года.

Законом также обозначаются регуляторы – государственные органы, которые уполномочены контролировать выполнение положений 152-ФЗ, этими регуляторами стали следующие органы:

РОСКОМНАДЗОР. СФЕРА ОТВЕТСТВЕННОСТИ – ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В ЦЕЛОМ.

Роскомнадзор отвечает за выполнение операторами юридических требований законодательных актов:

Регистрацию оператора в специальном реестре операторов персональных данных.

Создание «Положения об обработке персональных данных» – основного документа, определяющего, какие персональные данные, с какими целями и в течение какого срока обрабатывает оператор.

Создание административно – распорядительных документов, определяющих права и обязанности сотрудников или подразделений по работе с персональными данными.

Наличие бумажных разрешений субъектов персональных данных на их обработку в виде конкретных прописанных действий с их данными.

ФСТЭК. СФЕРА ОТВЕТСТВЕННОСТИ – ТЕХНИЧЕСКИЕ СРЕДСТВА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЗА ИСКЛЮЧЕНИЕМ КРИПТОГРАФИЧЕСКИХ СРЕДСТВ

ФСТЭК отвечает за выполнение операторами требований по технической защите данных:

Классификацию информационных систем, обрабатывающих персональные данные в зависимости от полноты данных и количества субъектов.

Использование сертифицированных средств защиты информации.

Сертификацию информационных систем операторов в случае потенциально опасных для субъектов и технологически сложных информационных систем.

Физическую защиту информации, в том числе, защиту от кражи информации при помощи считывания злоумышленниками электромагнитных наводок и звуковых колебаний.

ФСБ

Федеральная служба безопасности отвечает за использование сертифицированных средств шифрования в случаях, когда информационная система содержит большое количество потенциально опасной информации о людях, например, информации о состоянии здоровья.

ПОЛНОМОЧИЯ И ТРЕБОВАНИЯ РЕГУЛЯТОРОВ ОПИСАНЫ В СЛЕДУЮЩИХ НОРМАТИВНЫХ ДОКУМЕНТАХ:

Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»

Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

РУКОВОДЯЩИЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ ФСТЭК РОССИИ:

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.

Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

РУКОВОДЯЩИЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ ФСБ РОССИИ

Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не составляющей государственной тайны, в случае их использования в информационных системах персональных данных с использованием средств автоматизации.

Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации.

ЧТО ДЕЛАТЬ?

Начинать следует с выполнения требований Роскомнадзора по юридическому оформлению обработки персональных данных. Действовать будем по алгоритму:

1. ПРОВЕДЕНИЕ АУДИТА ДАННЫХ, ХРАНИМЫХ О СОТРУДНИКАХ, КЛИЕНТАХ, ПОСЕТИТЕЛЯХ, ПАРТНЕРАХ И ДРУГИХ ФИЗИЧЕСКИХ ЛИЦАХ

Без жалости убрать все данные, обработка которых не является необходимой! Например, хранение характеристики на сотрудников, содержащих сведения о политических, религиозных взглядах, возможно, следует упразднить, если нет реальной бизнес–ценности в этих данных. По итогам аудита необходимо документировать перечень персональных данных, цели и сроки обработки и хранения персональных данных. Аудит поможет определить способы обработки персональных данных, от которых зависят дальнейшие действия.

2. НУЖНО ЛИ ПОДАВАТЬ УВЕДОМЛЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В РОСКОМНАДЗОР?

Закон «О персональных данных» разрешает обработку без уведомления, если обрабатываются только данные сотрудников и данные по договорным отношениям с юрлицами, если данные являются общедоступными и обрабатываются без использования средств автоматизации, а также еще в ряде случаев. Однако нужно понимать, что организация, работающая только с внутренними данными, закрытая от внешнего мира – это, все-таки, абстракция. Следует еще раз все оценить, если Вы приходите к такому выводу. Во всех остальных случаях предприятие обязано подать уведомление на внесение в реестр операторов персональных данных. Форма уведомления доступна в Интернете. Уведомление должно быть направлено в письменной форме с подписью уполномоченного лица или в электронном виде с цифровой подписью.

3. КОМПЛЕКС МЕРОПРИЯТИЙ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Необходимо разработать организационно-распорядительные документы, которые будут регламентировать работу с персональными данными на Вашем предприятии.

Среди них:

положение о персональных данных (инструкции администраторов и пользователей, регламенты взаимодействия с субъектами персональных данных и передаче данных третьим лицам и т.д.),

приказ об утверждении списка лиц, обрабатывающих ПД,

приказ о назначении лица, ответственного за организацию мер по защите ПД,

приказ об утверждении мест хранения материальных носителей ПД,

доверенность на физ.лицо, представляющее интересы организации при проверке.

Также должны быть в наличие:

книга учета обращений субъектов ПД об обработке их ПД,

журнал учета проверок.

Перечень документов можно продолжить. Здесь представлено только самое необходимое. Примеры таких документов доступны в Интернете. Напомним, что данный этап обязателен для всех организаций без исключений!

4. ДЛЯ ОРГАНИЗАЦИИ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ПД НУЖНО ПРИСТУПИТЬ К РАБОТЕ С ИНФОРМАЦИОННЫМИ СИСТЕМАМИ

Начать нужно с понимания, доступ к персональным данным с каких компьютеров является необходимым для целей бизнеса? Если есть возможность упразднить доступ к данным для всей сети или для большей ее части, то это стоит сделать – чем более простой будет информационная система, в которой производится обработка, тем более надежной она будет и тем меньше требований регуляторов, удовлетворение которых стоит больших денег, к системе будет предъявляться.

На этом этапе стоит оценить свои силы – способна ли ваша организация самостоятельно удовлетворить всем техническим требованиям или стоит привлечь стороннюю организацию, специализирующуюся на предоставлении услуг такого типа. Этот выбор может быть не всегда очевидным и стоит оценивать и соотносить риски и затраты очень ответственно.

Если Вы решили выполнять работы самостоятельно – стоит вооружиться методическими документами ФСТЭК и ФСБ для более полного понимания требований и процессов. Работы и затрат на этом этапе будет много, но это тема для отдельной статьи.

СВЕТ В КОНЦЕ ТОННЕЛЯ ИЛИ ОТСРОЧКА?

На момент написания статьи Государственная Дума практически единогласно приняла поправки к закону об отсрочке некоторых требований закона и смягчении некоторых положений. Единство взглядов, продемонстрированное депутатами, позволяет надеяться на то, что закон пройдет дальнейшие этапы согласования и будет принят. Что он меняет? Он дает всем еще один год, чтобы все привести в порядок. Но это не повод вздохнуть с облегчением и забыть про все до 2011 года!

Заниматься обеспечением безопасности персональной информации необходимо уже сегодня, так как, во-первых, отсрочиваются только требования по технической защите, юридические требования будут проверяться по все строгости. Во–вторых, требований к техническим средствам довольно много и год позволит распределить финансовые затраты более–менее равномерно и успеть подготовиться к встрече с регуляторами без финансовых и репутационных потерь. Поэтапная работа по реализации закона «О персональных данных» поможет сделать все необходимые действия в назначенный срок и будет залогом стабильного и уверенного бизнеса.

Источник: http://www.klerk.ru/law/articles/175099/