Upload
yasir-gallagher
View
37
Download
1
Embed Size (px)
DESCRIPTION
СКОРОДУМОВ БОРИС ИВАНОВИЧ, к.т.н., доцент кафедры «Информационная безопасность банковских систем» МИФИ, заместитель директора института банковского дела АРБ. Проблемы внедрения закона о персональных данных. …1101011110010100110101 010111101 …. www.infoforum.ru www.ibdarb.ru/3/ - PowerPoint PPT Presentation
Citation preview
Проблемы внедрения закона о персональных данных
СКОРОДУМОВ БОРИС ИВАНОВИЧ, к.т.н., доцент кафедры «Информационная безопасность банковских систем» МИФИ, заместитель директора института банковского дела АРБ
…1101011110010100110101010111101…
www.infoforum.ruwww.ibdarb.ru/3/www.mephi.edu/
Федеральный закон (ФЗ) «О персональных данных» вступил
в силу с 30 января 2007 года
• . Ряду организаций, обрабатывающим приватные сведения граждан, предусмотрена отсрочка в выполнении требований ФЗ до 1 января 2008 года и 1 января 2010 года. Бизнесу следует заранее начать готовиться к реализации положений закона. Дело в том, что достижение соответствия положениям ФЗ требует внедрения новых ИТ-продуктов, принятия организационных мер и модернизации бизнес-процессов.
ФЗ «О персональных данных»
• Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия».
Защита прав субъектов персональных данных
•
Статья 22 ФЗ «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
Согласно ч. 4 ст. 25 указанного Федерального закона операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального
закона не позднее 1 января 2010 года
(статья 25 п. 3 ФЗ «О персональных данных»)
В АРБ летом2003 года выступал, после семинара в ЦБ РФ, Дэвид Хаген, Президент Люксембургской ассоциации по обеспечению безопасности информационных систем (CLUSSIL), начальник отдела аудита информационных технологий Комиссии по надзору за финансовым сектором.
Дэвид Хаген сказал, в частности, что в 1981 году Совет Европы принял "Конвенцию о защите физических лиц при автоматизированной обработке персональных данных" -- включил новый пункт в список прав и основных свобод человека.
Россия подписала ее в 2001 году, но ратифицировала только в 2005-м. Соответствующий российский ФЗ «О персональных данных» вступил в силу в январе 2007 года.
• В Администрации Президента РФ в недавно было проведено совещание по вопросу имплементации в российское законодательство Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. По итогам совещания было решено ускорить рассмотрение в Госдуме во втором и третьем чтениях законопроекта «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных». Решено также подготовить проекты подзаконных нормативных актов, необходимых для скорейшей реализации положений данного законопроекта после его принятия.
УКАЗ ПРЕЗИДЕНТА РФ от 3 апреля 1995 г. N 334
• О МЕРАХ ПО СОБЛЮДЕНИЮ ЗАКОННОСТИ В ОБЛАСТИ РАЗРАБОТКИ, ПРОИЗВОДСТВА, РЕАЛИЗАЦИИ И ЭКСПЛУАТАЦИИ ШИФРОВАЛЬНЫХ СРЕДСТВ, А ТАКЖЕ ПРЕДОСТАВЛЕНИЯ УСЛУГ В ОБЛАСТИ ШИФРОВАНИЯ ИНФОРМАЦИИ
НАСКОЛЬКО СИЛЬНО НЕОБХОДИМО ИЗМЕНЯТЬ СВОЮ ИТ-СИСТЕМУ
Постановление Правительства РФ от 17 ноября 2007 г. N 781
• Подзаконное постановление правительства, появившееся в ноябре 2007-го, ничего не разъяснило, а лишь делегировало определенные полномочия (устанавливать требования к обеспечению безопасности персональных данных и к техническим средствам) ФСТЭК (Федеральной службе по техническому и экспортному контролю) и ФСБ.
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России)
Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства
информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13
февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных"
Опубликовано 12 апреля 2008 г.
"Об утверждении Порядка проведения классификации информационных систем
персональных данных"
• 8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы. Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
ФСТЭК• Представительства ФСТЭК по округам получили следующие
документы ДСП: 1.«Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14 февраля 2008г. заместителем директора ФСТЭК России); 2. «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15 февраля 2008г. заместителем директора ФСТЭК России); 3. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008г. заместителем директора ФСТЭК России); 4. «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждены 15 февраля 2008 г. заместителем директора ФСТЭК России).
Федеральная служба по надзору в сферемассовых коммуникаций, связи и охраны культурного наследия http://www.rsoc.ru/
В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия, утвержденного постановлением Правительства Российской Федерации от 06.06.2007 года № 354 (в ред. постановления Правительства РФ от 15.12.2007 N 878) уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (Россвязьохранкультура).
Россвязьохранкультура приступила к ведению реестра
операторов персональных данных
• 31 марта 2008 г. Федеральной службой по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия внесены первые записи в реестр операторов персональных данных.
ВМЕСТО ЗАКЛЮЧЕНИЯ
• Оценочная миссия Европейской полицейской организации (Европола) приступила 16.04.2008 г. к работе в Москве по изучению правовой и административной практики РФ в сфере защиты персональных данных.
Европол (англ. Europol) — полицейская служба Европейского Союза, расположенная в Гааге. На данный момент Европол координирует работу полицейских служб всех 27 стран-членов Европейского Союза. http://ru.wikipedia.org
Спасибо за Ваше внимание!
СКОРОДУМОВ БОРИС ИВАНОВИЧ