Проблемы внедрения закона о персональных данных

1. СКОРОДУМОВ БОРИС ИВАНОВИЧ,к.т.н., доцент кафедры «Информационная безопасность банковских систем» МИФИ, заместитель директора института банковского дела АРБ Проблемы внедрения закона о персональных данных …1101011110010100110101010111101… www.infoforum.ru www.ibdarb.ru/3/ www.mephi.edu/

2. Федеральный закон (ФЗ) «О персональных данных» вступил в силу с 30 января 2007 года • . Ряду организаций, обрабатывающим приватные сведения граждан, предусмотрена отсрочка в выполнении требований ФЗ до 1 января 2008 года и 1 января 2010 года. Бизнесу следует заранее начать готовиться к реализации положений закона. Дело в том, что достижение соответствия положениям ФЗ требует внедрения новых ИТ-продуктов, принятия организационных мер и модернизации бизнес-процессов.

3. ФЗ «О персональных данных» • Согласно ст.19 ч.1, оператор «обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных» от целого ряда угроз. Среди них закон выделяет «неправомерный или случайный доступ, уничтожение, изменение, блокирование, копирование, распространение, а также иные неправомерные действия».

4. Защита прав субъектов персональных данных • Статья 22 ФЗ «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Согласно ч. 4 ст. 25 указанного Федерального закона операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

5. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года (статья 25 п. 3 ФЗ «О персональных данных»)

6. В АРБ летом2003 года выступал, после семинара в ЦБ РФ, Дэвид Хаген, Президент Люксембургской ассоциации по обеспечению безопасности информационных систем (CLUSSIL), начальник отдела аудита информационных технологий Комиссии по надзору за финансовым сектором. Дэвид Хаген сказал, в частности, что в 1981 году Совет Европы принял "Конвенцию о защите физических лиц при автоматизированной обработке персональных данных" -- включил новый пункт в список прав и основных свобод человека. Россия подписала ее в 2001 году, но ратифицировала только в 2005-м. Соответствующий российскийФЗ «О персональных данных» вступил в силу в январе 2007 года.

7. В Администрации Президента РФ в недавно было проведено совещание по вопросу имплементации в российское законодательство Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. По итогам совещания было решено ускорить рассмотрение в Госдуме во втором и третьем чтениях законопроекта «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных». Решено также подготовить проекты подзаконных нормативных актов, необходимых для скорейшей реализации положений данного законопроекта после его принятия.

8. УКАЗ ПРЕЗИДЕНТА РФ от 3 апреля 1995 г. N 334 • О МЕРАХ ПО СОБЛЮДЕНИЮ ЗАКОННОСТИ В ОБЛАСТИ РАЗРАБОТКИ, ПРОИЗВОДСТВА, РЕАЛИЗАЦИИ И ЭКСПЛУАТАЦИИ ШИФРОВАЛЬНЫХ СРЕДСТВ, А ТАКЖЕ ПРЕДОСТАВЛЕНИЯ УСЛУГ В ОБЛАСТИ ШИФРОВАНИЯ ИНФОРМАЦИИ

9. НАСКОЛЬКО СИЛЬНО НЕОБХОДИМО ИЗМЕНЯТЬ СВОЮ ИТ-СИСТЕМУ

10. Постановление Правительства РФ от 17 ноября 2007 г. N 781 • Подзаконное постановление правительства, появившееся в ноябре 2007-го, ничего не разъяснило, а лишь делегировало определенные полномочия (устанавливать требования к обеспечению безопасности персональных данных и к техническим средствам) ФСТЭК (Федеральной службе по техническому и экспортному контролю) и ФСБ.

11. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных"Опубликовано 12 апреля 2008 г.

12. "Об утверждении Порядка проведения классификации информационных систем персональных данных" •      8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.      Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.      Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

13. ФСТЭК • Представительства ФСТЭК по округам получили следующие документы ДСП: 1.«Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 14 февраля 2008г. заместителем директора ФСТЭК России); 2. «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждена 15 февраля 2008г. заместителем директора ФСТЭК России); 3. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены 15 февраля 2008г. заместителем директора ФСТЭК России); 4. «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных» (утверждены 15 февраля 2008 г. заместителем директора ФСТЭК России).

14. Федеральная служба по надзору в сферемассовых коммуникаций, связи и охраны культурного наследия http://www.rsoc.ru/

15. В соответствии с п. 1 ст. 23 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» и п. 1 Положения о Федеральной службе по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия, утвержденного постановлением Правительства Российской Федерации от 06.06.2007 года № 354 (в ред. постановления Правительства РФ от 15.12.2007 N 878) уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (Россвязьохранкультура).

16. Россвязьохранкультура приступила к ведению реестра операторов персональных данных • 31 марта 2008 г. Федеральной службой по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия внесены первые записи в реестр операторов персональных данных.

17. ВМЕСТО ЗАКЛЮЧЕНИЯ • Оценочная миссия Европейской полицейской организации (Европола) приступила 16.04.2008 г. к работе в Москве по изучению правовой и административной практики РФ в сфере защиты персональных данных. Европол (англ.Europol) — полицейская служба Европейского Союза, расположенная в Гааге. На данный момент Европол координирует работу полицейских служб всех 27 стран-членов Европейского Союза. http://ru.wikipedia.org

18. Спасибо за Ваше внимание! СКОРОДУМОВ БОРИС ИВАНОВИЧ bisko2003@list.ru