Закон о персональных данных придется исполнять

Закон о персональных данных придется исполнять

Защита персональных данных (ПД) практически во всех странах, о которых принято говорить "развитые", поставлена на высочайшем уровне. Причин тому несколько. В корпоративном сегменте, например, в условиях жесткой конкурентной борьбы обнародование фактов пропажи тех или иных приватных данных может нанести самый серьезный удар по репутации компании. В госсекторе за инциденты с утечками данных "головой отвечают" чиновники. Именно этот механизм открытости лежит в основе западных аналогов нашего закона "О персональных данных".

Нельзя сказать, что у нас в стране этим видом регулирования никогда не занимались. Напротив. Многое было и делалось. Однако в связи с переменами в России, ее выходом на международные рынки потребовалось гармонизация внутреннего законодательства с международной практикой, касающейся защиты персональных данных. Серьезным толчком для законодателей стало начало процесса вступления страны во Всемирную торговую организацию (ВТО). Переход на биометрические заграничные паспорта и другие документы так же оказал свое влияние.

Но Россия не была бы Россией, если бы ни ее особый путь. Виктор Сердюк, генеральный директор компании "ДиалогНаука" считает: "Взять и скопировать западное законодательство у нас вряд ли бы получилось. В существующих экономических условиях открытость в этой сфере не наносит значительного ущерба крупному бизнесу, допустившему утечки персональных данных. Характерным примером здесь является нелегальная торговля различного рода базами данных на "горбушках" или "митинских рынках". Понимая это, законодательные власти пошли другим путем и определили административную и уголовную ответственность в качестве одного из основных стимулов исполнения этого закона".

В результате 26 января 2007 года вступил в силу Федеральный закон РФ "О персональных данных", обязательный как для коммерческих, так и для государственных организаций. При этом, согласно статье 25, информационные системы, запущенные в эксплуатацию до даты вступления в силу данного закона (т.е. до января 2007 г.) должны быть приведены в соответствие с законодательством не позднее 1 января 2010 г. Остальные, по умолчанию, должны изначально ему соответствовать. В некоторых компаниях уже идут проверки…

В качестве наказания за ненадлежащее исполнение законодательства предусмотрено, как минимум, приостановка обработки персональных данных в информационной системе сначала персонала, затем клиентов. Как максимум, – прокуратура и уголовное дело. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки ПД, определена Федеральная служба по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор).

Виктор Сердюк напоминает: "Работы по созданию системы защиты ПД могут выполняться силами самой организации, либо при помощи компаний, специализирующихся на оказании такого рода услуг. Для выполнения работ по обеспечению безопасности ПД необходимо наличие соответствующей лицензии ФСТЭК. Как правило, проекты такого рода включают в себя, во-первых, проведение обследования (аудита). Во-вторых, разработку или доработку нормативных документов, приказов, регламентов и процедур, связанных с этим ФЗ. В-третьих, это разработка технического проекта по модернизации системы защиты компании в части обеспечения безопасности ПД. И, наконец, внедрение и сопровождение этой системы".

Но как это часто бывает, практические механизмы реализации законов появляются гораздо позже самих законов. Этот случай – не исключение. Постановление правительства РФ № 781 "Об утверждении Положения об обеспечении безопасности ПД при их обработке в информационных системах…" было выпущено лишь 17 ноября 2007 г. Следующий шаг правительства был сделан 6 июля 2008 г. – принято Постановление № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем…". Напомним, в ряде случае обычная фотография может рассматриваться в качестве биометрических персональных данных…

Существует также, так называемый, тройственный акт: Приказ ФСТЭК, ФСБ и Мининформсвязи от 13 февраля 2008г. № 55/86/20 "Об утверждении порядка проведения классификации информационных систем ПД". Для лицензиатов ФСТЭК доступны дополнительные документы по этой тематике. Пикантно то, что они носят гриф "Для служебного пользования". ФСБ оказалось гораздо либеральнее и в свободном доступе появились документы, касающиеся использования криптографических средств при защите ПД.

Но этого явно недостаточно. Одна из проблем: недостаток и некоторая неопределенность при использовании сертифицированного оборудования и ПО, например, операционных систем. Другая проблема – в разных отраслях экономики одни и те же данные могут быть как персональными, так и нет. Об этом говорит опыт глобальных международных вендоров.

Например, Алексей Чередниченко, ведущий консультант Symantec в России и СНГ, считает: "Нам не хватает стандарта или даже целой серии стандартов, связанных с этим законом, которые были бы основаны на лучших мировых практиках обеспечения ИБ. Насколько мне известно, работа над такими нормативными актами уже активно ведётся и даже есть предположения, что они, скорее всего, даже будут носить отраслевой характер. Хорошим примером того, как должна быть организованна работа в этом направлении, является деятельность Центрального Банка России. Ему удалось организовать и успешно наращивать темп работ по совершенствованию отраслевого стандарта безопасности для финансовых структур".

Задача быстрого появления таких отраслевых стандартов очень насущна, так как в условиях затяжного кризиса наблюдается резкий рост мошенничества с использованием ИТ и персональных данных. В результате наблюдается появление всё новых видов угроз. Кстати сказать, одним из краеугольных камней организационной работы по созданию системы защиты ПД является создание модели угроз. И ее модификация под современные реалии становится крайне актуальной задачей. Для этого эксперт предлагает рассмотреть современную схему добычи и использования ПД злоумышленниками.

Основой служит развивающийся и пользующийся большим спросом "чёрный" рынок. На текущий момент существует два наиболее популярных способа, которые используют участники онлайнового черного рынка. Это каналы на серверах IRC и веб-форумы. Оба содержат дискуссионные группы, которые участники используют для купли-продажи незаконных товаров и услуг.

В число предлагаемых товаров входят данные о кредитных картах, реквизиты банковских счетов, учетные записи электронной почты и почти любая другая информация, которую можно использовать в корыстных целях. Предлагаются услуги кассиров, которые переводят средства с краденых счетов в реальные деньги, фишинга и размещения фальшивых страниц. А в числе вакансий предлагаются такие должности, как разработчик афер или партнер по фишингу.

Как видим, есть от кого защищаться. Есть наказание за не исполнение законодательства и собственной халатности. Есть консультанты и вендоры, готовые помочь в решении задачи соответствия законам. Основная проблема заключается в недостаточной осведомленности операторов персональных данных (а это все юридические лица РФ) о лучших методах решения своих проблем и судебной практики по этой части.

Источник: cio-world.ru

www.cio-world.ru