Проблемы внедрения закона о персональных данных

СКОРОДУМОВ БОРИС ИВАНОВИЧ, к.т.н., доцент кафедры «Информационная безопасность банковских систем» МИФИ, заместитель директора института банковского дела АРБ

…1101011110010100110101010111101…

www.infoforum.ruwww.ibdarb.ru/3/www.mephi.edu/

Федеральный закон (ФЗ) «О персональных данных» вступил

в силу с 30 января 2007 года

• . Ряду организаций, обрабатывающим приватные сведения граждан, предусмотрена отсрочка в выполнении требований ФЗ до 1 января 2008 года и 1 января 2010 года. Бизнесу следует заранее начать готовиться к реализации положений закона. Дело в том, что достижение соответствия положениям ФЗ требует внедрения новых ИТ-продуктов, принятия организационных мер и модернизации бизнес-процессов.

ФЗ «О персональных данных»

• Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия».

Защита прав субъектов персональных данных

•

Статья 22 ФЗ «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Согласно ч. 4 ст. 25 указанного Федерального закона операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального

закона не позднее 1 января 2010 года

(статья 25 п. 3 ФЗ «О персональных данных»)

В АРБ летом2003 года выступал, после семинара в ЦБ РФ, Дэвид Хаген, Президент Люксембургской ассоциации по обеспечению безопасности информационных систем (CLUSSIL), начальник отдела аудита информационных технологий Комиссии по надзору за финансовым сектором.

Дэвид Хаген сказал, в частности, что в 1981 году Совет Европы принял "Конвенцию о защите физических лиц при автоматизированной обработке персональных данных" -- включил новый пункт в список прав и основных свобод человека.

Россия подписала ее в 2001 году, но ратифицировала только в 2005-м. Соответствующий российский ФЗ «О персональных данных» вступил в силу в январе 2007 года.

• В Администрации Президента РФ в недавно было проведено совещание по вопросу имплементации в российское законодательство Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. По итогам совещания было решено ускорить рассмотрение в Госдуме во втором и третьем чтениях законопроекта «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных». Решено также подготовить проекты подзаконных нормативных актов, необходимых для скорейшей реализации положений данного законопроекта после его принятия.

УКАЗ ПРЕЗИДЕНТА РФ от 3 апреля 1995 г. N 334

• О МЕРАХ ПО СОБЛЮДЕНИЮ ЗАКОННОСТИ В ОБЛАСТИ РАЗРАБОТКИ, ПРОИЗВОДСТВА, РЕАЛИЗАЦИИ И ЭКСПЛУАТАЦИИ ШИФРОВАЛЬНЫХ СРЕДСТВ, А ТАКЖЕ ПРЕДОСТАВЛЕНИЯ УСЛУГ В ОБЛАСТИ ШИФРОВАНИЯ ИНФОРМАЦИИ

НАСКОЛЬКО СИЛЬНО НЕОБХОДИМО ИЗМЕНЯТЬ СВОЮ ИТ-СИСТЕМУ

Постановление Правительства РФ от 17 ноября 2007 г. N 781

• Подзаконное постановление правительства, появившееся в ноябре 2007-го, ничего не разъяснило, а лишь делегировало определенные полномочия (устанавливать требования к обеспечению безопасности персональных данных и к техническим средствам) ФСТЭК (Федеральной службе по техническому и экспортному контролю) и ФСБ.

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России)

Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства

информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13

февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных"

Опубликовано 12 апреля 2008 г.

"Об утверждении Порядка проведения классификации информационных систем

персональных данных"

•     8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.            Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.            Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

ФСТЭК• Представительства ФСТЭК по округам получили следующие

документы ДСП: 1.«Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14 февраля 2008г. заместителем директора ФСТЭК России); 2. «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15 февраля 2008г. заместителем директора ФСТЭК России); 3. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008г. заместителем директора ФСТЭК России); 4. «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждены 15 февраля 2008 г. заместителем директора ФСТЭК России).

Федеральная служба по надзору в сферемассовых коммуникаций, связи и охраны культурного наследия http://www.rsoc.ru/

В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия, утвержденного постановлением Правительства Российской Федерации от 06.06.2007 года № 354 (в ред. постановления Правительства РФ от 15.12.2007 N 878) уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (Россвязьохранкультура).

Россвязьохранкультура приступила к ведению реестра

операторов персональных данных

• 31 марта 2008 г. Федеральной службой по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия внесены первые записи в реестр операторов персональных данных.

ВМЕСТО ЗАКЛЮЧЕНИЯ

• Оценочная миссия Европейской полицейской организации (Европола) приступила 16.04.2008 г. к работе в Москве по изучению правовой и административной практики РФ в сфере защиты персональных данных.

Европол (англ. Europol) — полицейская служба Европейского Союза, расположенная в Гааге. На данный момент Европол координирует работу полицейских служб всех 27 стран-членов Европейского Союза. http://ru.wikipedia.org

Спасибо за Ваше внимание!

bisko2003@list.ru

СКОРОДУМОВ БОРИС ИВАНОВИЧ