Разработка методики защиты персональных данных в автоматизированных системах

"Несмотря на то, что право на неприкосновенность частной жизни, а также недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, закреплены в Конституции РФ (ст.23, п.1 и ст.24, п.1 соответственно), утечки персональных данных уже давно стали нормой жизни. Перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 06.03.1997 №188, относит сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), к конфиденциальной информации." Однако долгое время законодательство в области защиты персональных данных ограничивалось только специальными требованиями.

"В целях обеспечения защиты прав и свобод человека и гражданина Российской Федерации при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, 27 июля 2006 года был принят федеральный закон №152-ФЗ «О персональных данных», регулирующий отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий, совершаемых с персональными данными с использованием средств автоматизации."

Однако нельзя говорить, что лишь многочисленные факты кражи персональных данных в государственных и коммерческих структурах являлись причиной принятия этого закона."Существует и другая, не менее важная причина: в 2001 году Российская Федерация присоединилась к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных."Принятие этой конвенции является одним из требований, которые необходимо выполнить для вступления во Всемирную торговую организацию. К 2006 году эта Конвенция ратифицирована не была и содержащиеся в ней требования выполнены не были. К числу таких требований относилось, во-первых, принятие законодательства, которое охраняло бы персональные данные в соответствии с положениями Конвенции и, во-вторых, должен был быть создан государственный уполномоченный орган, который занимался бы защитой персональных данных российских граждан.

Казалось бы, мы должны только приветствовать появление закона, направленного на реализацию конституционных прав, на неприкосновенность частной жизни граждан, обязывающего всех тех, кто собирает наши данные, защищать их, как того требует закон.

Любая организация, обрабатывающая персональные данные своих сотрудников в отделе кадров, подготавливающая для органов налогового учета информацию о доходах, работающая с клиентскими базами, содержащими телефоны и адреса, в том числе для привлечения новых партнеров и заказчиков, поддерживающая программы лояльности для своих клиентов, в соответствии с действующим законодательством не позднее 1 января 2010 года должна защитить свои информационные системы персональных данных."При этом лица, виновные в нарушении требований федерального закона «О персональных данных», несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность."

Государственный контроль и надзор за обработкой персональных данных в рамках своих полномочий осуществляют Роскомнадзор, ФСБ и ФСТЭК. Проверки могут быть как плановыми, так и на основании жалоб от субъектов персональных данных. Поэтому отсутствие организации в опубликованном плане проверок на конкретный год еще не означает, что эта организация не будет проверена в этом году.

Явные риски для бизнеса (штрафы, ущерб репутации, административное приостановление деятельности и пр.) не могут остаться незамеченными. Ни один игрок на рынке информационной безопасности не желает остаться в стороне, на организации сыпется шквал предложений по организации защиты персональных данных в соответствии с законодательством Российской Федерации. Стоимость предлагаемых проектов высока, а эффективность большинства из них вызывает сомнения: во-первых даже представители "федеральных органов исполнительной власти, осуществляющих контроль и надзор за" обработкой персональных данных неофициально признают несовершенство законодательства, но отказываются давать официальные разъяснения по отдельным вопросам, а во-вторых предлагаемые решения чаще всего не учитывают сформировавшуюся «внутреннюю культуру» организации, ее бизнес процессы и потребности, не адаптируются под конкретного клиента.

Copyright © 2010 Шелемех А.А.