Ситуацию с защитой персональных данных в РФ можно охарактеризовать как далекую от идеала - достаточно вспомнить сотни предложений о приобретении баз данных сотовых операторов, ГИБДД, налоговой службы и многое, многое другое. Многочисленные сообщения о краже баз данных, содержащих данные кредитных карт, номеров социального страхования и прочей информации уже никого не удивляют. Все это говорит о том, что на эти сведения есть огромный спрос со стороны других мошенников, а стало быть – будет и предложение.Конечно, государство не может остаться безучастным, учитывая огромные масштабы посягательств на конституционные права и свободы своих граждан – права на личную и семейную тайну. Именно поэтому персональные данные граждан РФ отнесены к конфиденциальной информации, а в 2006 году был принят федеральный закон 152-ФЗ «О персональных данных», основной задачей которого является защита прав и интересов персональных данных физических лиц.В соответствие с законом, к персональным данным отнесены фактически любые сведения о гражданине, который считается субъектом персональных данных. Все организации, так или иначе имеющие дело с персональными данными субъектов, являются операторами, и обязаны принимать организационные, а в случае обработки персональных данных в автоматизированных системах - и технические меры по их защите.Вступление в силу 30 декабря 2009 года федерального закона 363-ФЗ, вносящего поправки в 19 и 25 статьи закона «О персональных данных», воспринято большинством руководителей и специалистов однозначно - закон перенесен на один год. Именно такую формулировку приходится слышать на семинарах и конференциях, видеть в публикациях средств массовой информации.На самом деле, закон «О персональных данных» действует с 2006 года и до настоящего времени. Перенесен лишь срок приведения в соответствие с требованиями закона автоматизированных информационных систем, обрабатывающих персональные данные граждан. Все остальные требования закона – получение согласия субъекта на обработку персональных данных и передачу их третьим лицам, защита от несанкционированного доступа, о правах субъекта и обязанностях оператора действуют в неизменном виде уже три года.При этом все без исключения операторы увлечены активным обсуждением часто меняющихся требований по реализации технической защиты информационных систем, и мало кто обращает внимание на первую – и самую главную – часть системы защиты – организационные мероприятия. О них и пойдет речь в данной статье.Законодательство, законодатели и регуляторыСистема государственного надзора и контроля в области персональных данных состоит из трех регуляторов, ответственных за определенные области деятельности. Основным регулятором, осуществляющим контроль порядка обработки персональных данных оператором, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), территориальные управления которой присутствуют в каждом субъекте РФ. Зона ответственности и область проверок этого регулятора – организационные мероприятия: все до акта классификации информационных систем персональных данных включительно. Официальный сайт регулятора – http://www.rsoc.ru.Вторым регулятором, осуществляющим контроль мер по технической защите информационных систем обработки персональных данных, являются уполномоченные органы Федеральной службы по техническому и экспортному контролю (ФСТЭК). Управления ФСТЭК присутствуют во всех федеральных округах РФ. Зона ответственности и область проверок – технические средства защиты информации, использующие не криптографические методы. Официальный сайт регулятора – http://www.fstec.ru. |
©2008-2024 Журнал «Директор по безопасности»
Все права защищены
Копирование информации данного сайта допускается только при условии установки ссылки на оригинальный материал.
Проекты ИД «Отраслевые ведомости»: