Разработка системы защиты персональных данных в коммерческой организации

Введение

Со времени вступления в действие Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных» прошло уже более двух лет, однако по сей день операторы не спешили приводить свои бизнес процессы и информационные системы в соответствие с требованиями закона. Во многом это вызвано несогласованностью действий и документов регулирующих органов, порождающим множество вопросов. В настоящий момент нормативная база в области защиты персональных данных и прав субъектов персональных данных достаточно сложна и неоднозначна.

Кроме того, не смотря на то, что цель Федерального закона «О персональных данных» – защита прав и свобод субъектов ПДн, все подзаконные акты направлены именно на защиту информации, на соблюдение дорогостоящих формальных процедур (аттестация, сертификация, лицензирование и пр.).

Тем не менее, федеральные органы исполнительной власти четко дают понять, что переноса сроков подготовки не будет. Все информационные системы персональных данных должны быть приведены в соответствие с Федеральным законом не позднее 1 января 2010 года.

Эта ситуация породила ажиотаж на рынке консалтинга по информационной безопасности. Новые компании появляются «как грибы после дождя», известные поставщики продуктов информационной безопасности открывают новые направления деятельности. Однако противоречивость законодательной базы заставляет усомниться в эффективности предлагаемых решений.

При выполнении настоящей аттестационной работы автор преследует следующие цели:
• ответить на вопросы практического применения законодательства Российской Федерации в части обработки персональных данных;
• предложить разумную методику приведения процессов организации к соответствию с требованиями законодательства Российской Федерации в части обработки персональных данных, учитывающую не только разработку системы защиты персональных данных, но и защиту прав субъектов персональных данных.

Обзор нормативной базы

В главе приведен обзор имеющейся нормативно-правовой базы в области обработки и защиты персональных данных.
Представлен перечень документов, регулирующих обработку персональных данных.
Определены основные понятия (персональные данные, кто является оператором, что включает понятие обработки персональных данных и пр.).
Рассмотрены сферы действия закона «О персональных данных», Постановлений Правительства РФ №781 и №687.
Рассмотрены вопросы получения согласия субъектов персональных данных, основания на законную обработку персональных данных.
В общем виде представлены действия, которые должен предпринять оператор персональных данных.
Рассмотрены вопросы государственного контроля и надзора в области защиты персональных данных.
Приведены меры наказания за несоблюдение законодательства в области защиты персональных данных.
Выделены основные проблемы имеющегося законодательства, оставляющие множество вопросов практического применения законодательства в области защиты персональных данных и прав субъектов персональных данных.

Практическое применение законодательства в области обработки персональных данных

В связи с большим количеством законодательных актов Российской Федерации, регулирующих обработку персональных данных, охватить все аспекты по заявленной теме в рамках настоящей работы не представляется возможным.

Поэтому автор ограничивает область применения настоящего исследования до коммерческих организаций, численностью от 100 до 1000 сотрудников, осуществляющих обработку персональных данных:
• своих сотрудников в целях кадрового делопроизводства;
• пользователей своих корпоративных информационных систем (телефонные справочники, адресные книги и пр.);
• представителей своих контрагентов;
• службой безопасности организации (выпуск постоянных и временных пропусков, регистрация паспортных данных посетителей);
• в целях поддержания программ лояльности.

На примере компании, отвечающей указанным признакам, более детально рассмотрены вопросы практического применения законодательства Российской Федерации в области обработки персональных данных, дан ряд рекомендаций. Предложен подход к решению вопросов классификации, аттестации, необходимости лицензирования деятельности по технической защите конфиденциальной информации, получению согласия субъектов персональных данных и пр.

Мероприятия, направленные на соответствие требованиям ФЗ «О персональных данных»

Помимо несогласованности и сложности понимания требований законодательства Российской Федерации в области обработки и защиты персональных данных, еще одной причиной длительного бездействия операторов является высокая стоимость и сложность реализации этих требований. Многим компаниям для соответствия закону «О персональных данных» потребуется не только закупать сертифицированные средства защиты информации, брать на работу специалистов по защите информации и проходить формальные процедуры. Также потребуется серьезное изменение бизнес процессов, возможно, смена географического места обработки персональных данных. Например, требования Федерального закона №152-ФЗ от 27.07.2006 «О персональных данных», касающиеся трансграничной передачи персональных данных, могут стать серьезным препятствием для осуществления внешнеэкономической деятельности целого ряда коммерческих структур, в том числе и банков.

Данный раздел работы формулирует предлагаемую методику подготовки организации к соответствию требований законодательства в области обработки персональных данных, предлагает план проведения мероприятий по подготовке, показывающий, на каком этапе возможно адекватное принятие решения о конкретном способе подготовки, наиболее эффективном для данной организации.

Заключение

Изложенный материал отражает лишь личное мнение автора, и только в текущем временном срезе. Действующее законодательство в области обработки и защиты персональных данных несовершенно, и может быть изменено в любой момент. Тем более, что предпосылки к этому есть: 26 августа в Министерстве связи и массовых коммуникаций Российской Федерации прошло открытое заседание секции №1 «Научно-техническое и стратегическое развитие отрасли».

Основным на повестке дня был вопрос о состоянии и проблемах защиты персональных данных и исполнении Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее ФЗ-152). Отрадно, что помимо представителей органов законодательной и исполнительной власти были приглашены представители различных отраслей бизнеса. Помимо прочих, на заседании приняты следующие решения:

1. Рекомендовать Минкомсвязи России обобщить в сентябре 2009 года предложения ФСТЭК России, ФСБ России, Роскомнадзора по гармонизации нормативной правовой базы в области персональных данных на предмет соответствия действующему законодательству. Подготовить предложения по дальнейшему анализу имеющихся противоречий и принять решение о необходимости внесения изменений в действующие нормативные правовые акты, регулирующие сферу персональных данных.
2. Рекомендовать Минкомсвязи России принять возможные меры, направленные на ускорение рассмотрения Государственной Думой Федерального Собрания Российской Федерации во втором и третьем чтении законопроекта «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и принятием Федерального закона «О персональных данных».

Однако нет оснований считать, что внесенные изменения отменят необходимость приведения операторами персональных данных своих информационных систем в соответствие с требованиями закона к 1 января 2010 года.

Copyright © 2009 Максимов В.Б.