С первого июля более трети свердловских предприятий могут получить штраф за несоблюдение закона о защите персональных данных. Как сообщает агентство REGNUM, многие руководители этих организаций даже не догадываются, что необходимо обеспечивать информационную безопасность персональных данных сотрудников и клиентов. В случае, если они не изменят своего отношения к данному вопросу, штраф для них может составить до 500 тыс. руб. Очевидно, что грядущее наказание – не единственный стимул предпринять серьезные меры для защиты персональных данных. Сейчас во всем мире между организациями и предприятиями происходит интенсивный обмен данными через информационные системы, и многие из них не предназначены для широкой общественности. Бурное развитие информационных технологий привело к росту компьютерных преступлений, так или иначе нацеленных на хищение конфиденциальной информации. К чему такая ситуация может привести? В случае несоблюдения должных мер информационной безопасности – к утечке различных сведений. Согласно исследованиям Ponemon Institute, осуществленным совместно с компанией Symantec, в 2011 г. цена всего одного инцидента такого характера в среднем составляет 7,2 млн долл. Также, в исследовании сообщается о самой дорогостоящей утечке, на которой неназванная компания потеряла 35,3 млн долл. Кроме того, несоблюдение правил защиты персональных данных может нанести материальный ущерб как самой организации, так и ее клиентам. Не так давно произошел инцидент, в результате которого накопления тысяч россиян в Пенсионном фонде были переведены в другой фонд – негосударственный. Обман происходил с использованием поддельных документов вкладчиков, данные которых можно было получить в базе Пенсионного фонда, свободно распространяемой на рынках. Финансовая сторона вопроса безопасности персональных данных – не единственная. Небрежное и недобросовестное отношение к защите информационных потоков в организации неизбежно приводит к утечке, а утечка – к потере доверия со стороны клиентов. Показательна история, произошедшая с американским банком Huntington National Bank. Шестеро уволенных сотрудников скопировали базу данных с информацией о 2 тыс. клиентов и передали ее конкуренту – MVB Bank. Утечку персональных данных обнаружили сами клиенты после того, как стало понятно, что сотрудникам MVB Bank известно состояние их лицевых счетов. В итоге Huntington National Bank подал иск против уволенных сотрудников, а в скором времени и ему самому следует ожидать исков со стороны обманутых вкладчиков. Как известно, судебное разбирательство не может пойти на пользу репутации банка – мало кто захочет доверить свои деньги организации, которая не в состоянии обеспечить защиту сведений о своих клиентах. Финансовые потери в сочетании с утратой положительной репутации и доверия к своей деятельности – основные причины, заставляющие организации защищать персональные данные. Если добавить сюда еще необходимость соответствовать европейским нормам по обеспечению информационной безопасности, а также штраф с первого июля – вопрос о важности защиты персональных данных не должен вызывать никаких сомнений. Каким же способом базы данных можно оградить от нежелательного вторжения в них?Законодательная подоплекаПрежде всего обратимся к закону «О персональных данных». Согласно новой редакции правового акта, «персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)». Самые главные с точки зрения защиты персональных данных – статьи 18 и 19. 18-я статья регулирует отношения «оператор – субъект персональных данных», обязывая лицо, обрабатывающее данные, представить полные сведения о принятых мерах по защите информации. Еще один важный пункт этой статьи – самостоятельный выбор оператором мер, необходимых для обеспечения безопасности данных, но в тоже время предусмотренных законом в ст. 19. Обязательный перечень мер установлен только для государственных и муниципальных предприятий. Рекомендуемые меры по защите данных должны реализовываться с учетом возможного причинения вреда субъекту в случае их неприменения и имеющейся технической базы. Особый интерес вызывает ч. 5 ст. 19, согласно которой правительство РФ может признать меры по защите персональных данных обязательными и для негосударственных предприятий. В ст. 20 изменен срок, в течение которого оператор обязан уничтожить неправомерно обрабатываемые данные: с 3 дней он увеличен до 10 на тот случай, если в течение 3 рабочих дней нет возможности прекратить обработку этих сведений.Сферу применения новой редакции закона можно пояснить конкретным примером. |
©2008-2025 Журнал «Директор по безопасности»
Все права защищены
Копирование информации данного сайта допускается только при условии установки ссылки на оригинальный материал.
Проекты ИД «Отраслевые ведомости»: