Электронно-цифровая подпись, защита персональных данных, электронные торги в Туле

Изменения в ФЗ «О персональных данных»

noreply@blogger.com (Николай Сеничев) — Tue, 26 Jul 2011 07:31:00 +0000

Как сообщает kremlin.ru, президент подписал Федеральный закон «О внесении изменений в Федеральный закон «О персональных данных».

Федеральный закон принят Государственной Думой 5 июля 2011 года и одобрен Советом Федерации 13 июля 2011 года.

Федеральным законом уточняются сфера действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер по обеспечению безопасности персональных данных при их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.

Вступил в силу Закон № 152-ФЗ

noreply@blogger.com (Николай Сеничев) — Fri, 01 Jul 2011 05:33:00 +0000

C сегодняшнего дня окончательно вступают в силу требования Федерального закона №152-ФЗ «О персональных данных». Начиная с 01.07.2011 все юридические лица должны обеспечивать безопасность персональных данных при их обработке в информационных системах с использованием технических средств защиты информации.

К вопросу применимости СТР-К для определения требований к защите персональных данных в государственных ИСПДн

noreply@blogger.com (Николай Сеничев) — Thu, 26 May 2011 11:48:00 +0000

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) – нормативно-методический документ Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ).
Чтобы определить правовой статус данного документа, обратимся к Федеральному закону от 27.12.2002 N 184-ФЗ "О техническом регулировании".

Ст. 3., п. 3. Федеральные органы исполнительной власти (к которым относится ФСТЭК РФ) вправе издавать в сфере технического регулирования акты только рекомендательного характера, за исключением случаев, установленных статьями 5 и 9.1 настоящего Федерального закона.

Ст. 5. Особенности технического регулирования в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения указанной продукции и указанных объектов.

Очевидно, что рассматриваемая ситуация подпадает под действие Статьи 5 Федерального закона от 27.12.2002 N 184-ФЗ "О техническом регулировании", т.к. персональные данные относятся к информации ограниченного доступа в соответствии с Федеральным законом N 152-ФЗ от 27.07.2006 «О персональных данных».

Таким образом, СТР-К является обязательным к исполнению нормативным актом.
Рассмотрим область применения СТР-К.

Ст. 2.3. Цитата взята из открытых источников
Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и специальных воздействий на информацию в целях ее уничтожения, искажения, блокирования.

Что в понятии законодателя является государственным информационным ресурсом? Обратимся к Федеральному закону N 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», являющемуся основополагающим нормативным актом в области информационных технологий.

В документе обозначен переход от понятия государственная информационная система (ГИС) к понятию государственный информационный ресурс (ГИР).

Ст. 13. п. 1. Информационные системы включают в себя:
1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.

Ст. 15. п.9 Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами.

Что касается п.п. 3 п.1 статьи 3 «иные информационные системы», то следует обратиться к постатейному комментарию к Федеральному закону от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" А.Н. Королева и О.В. Плешаковой. Из комментариев следует, что под иными информационными системами Законодатель подразумевает системы, операторами которых являются таможенные органы.

Исходя из вышеизложенного, следует, что СТР-К применимы к государственным информационным системам (муниципальным информационным системам), которые созданы на основании законов или иных правовых актов.

Кроме того, очевидно, что после вступления в силу Федерального закона N 152-ФЗ от 27.07.2006 «О персональных данных», персональные данные выделаются в отдельный пласт защищаемой информаций со своей нормативной базой. Следовательно, документами, определяющими требования к защите некриптографическими методами персональных данных в ИСПДн, являются подзаконные акты данного закона, а именно:
- Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
- Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».
- Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК 15.02.2008 г.
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК 15.02.2008 г.

Вывод: в подавляющем большинстве случаев для определения требований к защите некриптографическими методами персональных данных в государственных ИСПДн СТР-К неприменимы. Однако в случае, если информационная система создана на основании правового акта государственного органа, то выполнение СТР-К обязательно.
Требования по выполнению требований СТР-К применительно к информационным системам, в установленном порядке не признанными государственными в соответствии с Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", в том числе по проведению аттестации ИСПДн, по состоянию на 26.05.2011, необоснованны и носят РЕКОМЕНДАТЕЛЬНЫЙ характер.

iPhone и персональные данные. Интересно.

noreply@blogger.com (Николай Сеничев) — Thu, 23 Dec 2010 08:29:00 +0000

Смартфоны, включая iPhone, передают личные данные третьим лицам.

Как установили журналисты американской газеты The Wall Street Journal, некоторые из самых популярных приложений, разработанных для смартфонов, включая iPhone и смартфоны, работающие на платформе Andriod, нарушают правила конфиденциальности личной информации пользователей.

«Ваши телефоны не хранят ваши секреты», – пишут авторы расследования, в ходе которого, в частности, стало известно, что музыкальное приложение для iPhone рассылает частные данные клиентов по крайней мере 8 посторонним компаниям: семь из них получают точные координаты местонахождения пользователя, 3 – номер его телефона, а также имя человека, на которого была оформлена покупка смартфона и прочую информацию.

Проверка 101 приложения для смартфонов, начиная с игр и заканчивая программным обеспечением, установила, что 56 из них передают конфиденциальную информацию пользователей третьим лицам.При этом, 5 приложений из 101, сообщали заказчикам о возрасте, поле, имени и других персональных данных владельца смартфона.

Ранее журналисты WSJ проводили расследование деятельности подобных приложений в социальной сети Facebook, которое показало, что программы передают личную информацию пользователей рекламным компаниям и интернет-трекерам, которые используют ее, главным образом, для рассылки спама.

«Газета.Ru»

Особенности работы в Тульском регионе

noreply@blogger.com (Николай Сеничев) — Wed, 11 Aug 2010 12:47:00 +0000

В мае 2008 года когда на первом семинаре, посвященном вопросам информационной безопасности в нашем городе, организованном ООО «Кредо-С», я выступал с вопросом защиты персональных данных, люди не знали о принятом законе вообще ничего, хотя к тому времени он был принят более года назад. Это говорило о крайне низкой информированности населения о данном Законе, да и наверно, о принимаемых законах вообще. Да что там говорить, даже регуляторы к тому времени еще не выпустили пресловутого «четырехкнижия». Тогда мы «щупали» рынок, и презентация, как и ожидалось, не произвела большого впечатления, вызвав лишь недоумения. Гораздо больше интереса и вопросов вызвала презентация приглашенного нами Юрия Маслова из «Крипто-ПРО» про юридически значимый электронный документооборот.

Даже в мае 2009 года, когда уже окончательно вырисовалась потребность в хоть какой-то КОНКРЕТНОЙ информации в области 152-ФЗ, когда администрация области начала рассылать «подшефным» письма о необходимости реализации требований закона, общая информированность оставалась низкой. Тогда мы провели уже специализированный семинар по вопросам защиты персональных данных, который стал также первым подобным семинаром в нашем регионе. Нам удалось пригласить представителя Россвязькомнадзора по Тульской области, что стало дополнительным стимулом привлечения посетителей, коими стало более 100 человек.

В сентябре 2009 года, когда мы провели второй семинар, а также организовали несколько курсов совместно с «Академией информационных систем» обучив более 40 специалистов по вопросам защиты персональных данных, можно было отметить, что информированность выросла многократно – нам уже сами звонили с просьбами проконсультировать.
Потом случилось, что ФСТЭК по ЦФО совершил плановый «наезд» на регион с целью узнать ситуацию, складывающуюся в области защиты персональных данных, чем наделал много шума в органах исполнительной власти. Это же время еще было ознаменовано активным началом «ломанием копий» по поводу закона на уровне регуляторов, министерств и серьезных банков.

Таким образом, только к концу 2009 года, когда до вступления в силу закона оставались считанные месяцы (тогда еще о переносе сроков не знали), можно было сказать, что люди в курсе проблемы. Тогда же, осенью, я принял участие еще в двух семинарах, организованных другими организациями.

За это время я слышал очень много позиций людей по поводу необходимости выполнения закона. Все они имеют право на существование, учитывая кризис в стране, дефицит регионального бюджета и «разруху в головах». Немного остановлюсь на позиция государственных учреждений. «Когда нам скажут делать это сверху, тогда мы и будем это делать». Известный российский подход, который до сих пор является приоритетным. В регионах он доведен до абсурда. Люди просто боятся проявлять инициативу.

Подводя итоги, скажу, что сегодня о проблематике защиты персональных данных в нашем регионе знают почти все крупные операторы персональных данных. Опять же быстро появились другие лицензиаты, которые тоже ведут работу и подогревают интерес к проблеме. Но мы горды тем, что явились «пионерами» в этом вопросе в нашем регионе и надеемся, что и дальше будем развиваться в этом направлении и приносить пользу.

Надеюсь, что этот краткий экскурс о развитии ситуации по проблематике защиты персональных данных в небольшом дотационном регионе будет кому-то интересен.

Общественные слушания по 152-ФЗ

noreply@blogger.com (Николай Сеничев) — Mon, 21 Jun 2010 05:15:00 +0000

www.fz-152.org
буду принимать посильное участие

Законопроект о поправках в Федеральный Закон "О персональных данных" принят в первом чтении

noreply@blogger.com (Николай Сеничев) — Wed, 05 May 2010 12:18:00 +0000

Текст закона с планируемыми поправками

Семинар по защите персональных данных в Белгороде

noreply@blogger.com (Николай Сеничев) — Tue, 20 Apr 2010 13:18:00 +0000

Принял совместно с одним из наших специалистов участие в семинаре «Защита персональных данных. Практические вопросы», организованном коллегами из Белгорода. Программу семинара, материалы и раздатку готовили мы, а организационную часть –
белгородчане.

Это был первый опыт выездных семинаров, и хотя выступления уже были обкатаны у нас в регионе, ощущался некий мандраж. Тем не менее, с задачей справились, тем паче аудитория была «живая». Люди активно задавали вопросы и дискутировали. Очень понравился представитель Роскомнадзора по Белгородской области – никого не пугал особо, но тем не менее, строгим голосом объяснил, что наказывать будут . Упомянул пресловутые планируемые поправки в КоАП, но пока они только в далекой перспективе. Что характерно, присутствующие гости больше задавали вопросы по организационной части, что не удивительно. Орг. меры проверяет Роскомнадзор, который рядом, в регионе, а чтобы техническую защиту проверять – на всех ФСТЭКов не напасешься. Время семинара истекло, а еще оставалось выступление по 58-му приказу. В общем, 58-й приказ остались слушать только те, кому было интересно - человек 15.
Впечатления о городе остались самые приятные. Отдельное спасибо Сергею Щекину за радушный прием.

Вот так хранятся персональные данные в одном из учреждений здравоохранения города

noreply@blogger.com (Николай Сеничев) — Fri, 19 Mar 2010 14:04:00 +0000

Доступ в комнату не ограничен :-)
Персональные данные - медицинские карты.

Откуда у известной партии мои персональные данные

noreply@blogger.com (Николай Сеничев) — Wed, 17 Mar 2010 07:52:00 +0000

Перед региональными выборами получил письмо. Причем без обратного адреса.
Письмо - обычная агитка. Однако, уважаемый господин губернатор захотел обратиться ко мне лично. Очевидно, подпись факсимиле он ставил собственноручно.

На конверте и в самом письме присутсвовали мои персональные данные. Скорее всего, их обработка производилась с использованием средств автоматизации. Согласия на обработку своих ПДн никаким политическим партиям я не давал.

C почином. Или первая "ласточка" в Туле.

noreply@blogger.com (Николай Сеничев) — Tue, 09 Mar 2010 13:48:00 +0000

Как сообщает Роскомнадзор по Тульской области, в регионе выявлено нарушение в области обработки персональных данных.

В Управление Роскомнадзора по Тульской области поступило обращение от гражданина В. о нарушении обществом с ограниченной ответственностью «Лаура-Тула» требований Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».

В ходе рассмотрения обращения установлено, что ООО «Лаура-Тула» осуществляет обработку персональных данных без уведомления уполномоченного органа (Управления Роскомнадзора по Тульской области). В отношении юридического лица - ООО «Лаура-Тула» составлен протокол об административном правонарушении по ст.19.7 КоАП РФ.

Постановлением мирового судьи судебного участка №58 Зареченского района г. Тулы от 10.02.2010 общество с ограниченной ответственностью «Лаура-Тула» признано виновным в совершении административного правонарушения, предусмотренного ст. 19.7 КоАП РФ и подвергнуто административному наказанию в виде штрафа в размере 3000 рублей.

Взято отсюда.

Выполнялись ли другие требования закона, источник умалчивает.

Опубликован новый приказ ФСТЭК по персональным данным

noreply@blogger.com (Николай Сеничев) — Fri, 05 Mar 2010 06:28:00 +0000

Опубликован Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. N 58 г. Москва "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"

Документ, в отличие от "четверокнижия" зарегистрирован в Минюсте РФ.
В документе ни слова не говорится про аттестацию информационных систем персональных данных, но это не означает, что система оценки соответствия требованиям по информационной безопасности изживет себя для ИСПДн.

Минкомсвязи: Электронный ключ для доступа к госуслугам должен работать на базе региональных решений

noreply@blogger.com (Николай Сеничев) — Fri, 12 Feb 2010 06:23:00 +0000

Единый электронный ключ для доступа россиян к госуслугам целесообразно делать на базе уже работающих региональных решений, считают в Минкомсвязи. Именно такое решение на днях было продемонстрировано Владимиру Путину в Уфе.

CNews

Прочитать статью

Утвержден регламент государственного надзора в сфере защиты персональны данных

noreply@blogger.com (Николай Сеничев) — Thu, 04 Feb 2010 13:25:00 +0000

Утвержден административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

Приказ

Выдержка:

64. В ходе проведения проверки Служба или ее территориальный орган осуществляют следующие мероприятия по контролю:
64.1. Рассмотрение документов Оператора, в том числе:
64.1.1. Уведомление об обработке персональных данных.
64.1.2. Документов, необходимых для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган.
64.1.3. Документов, подтверждающих выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных.
64.1.4. Письменного согласия субъекта персональных данных на обработку его персональных данных.
64.1.5. Документов, подтверждающих соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных.
64.1.6. Документов, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки.
64.1.7. Локальных актов Оператора, регламентирующих порядок и условия обработки персональных данных.
64.2. Исследование (обследование) информационной системы персональных данных, в части касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

Интересно, что помимо запроса документов у Оператора проводится обследование информационной системы персональных данных. Как именно оно буджет проводится - неизвестно.

Электронные торги для заказчиков Тульской области

noreply@blogger.com (Николай Сеничев) — Wed, 03 Feb 2010 12:54:00 +0000

На портале goszakaz.tula.ru началось тестирование электронных аукционов.
Сорее всего, на этом портале они будут проводится до июля 2010 года.

В соответствии с приказом от 19.01.2010 «О внесении изменения в приказ комитета государственного заказа Тульской области от 30.12.2009 № 274 «Об утверждении Регламента проведения открытых аукционов в электронной форме на электронной торговой площадке, расположенной на официальном сайте Тульской области в сети «Интернет» для размещения информации о размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных нужд области» для применения в обмене информацией на ЭТП, ЭЦП должна быть получена в удостоверяющем центре, сведения о котором содержатся в едином государственном реестре сертификатов ключей подписей удостоверяющих центров и совместима с программным комплексом «Крипто ПРО CSP».

Электронные торги бедет проводится на 6-ти площадках

noreply@blogger.com (Николай Сеничев) — Mon, 25 Jan 2010 13:49:00 +0000

По сообщению rbc.ru госзакупки будут проводиться через 6 электронных площадок, а не через 3, как планировалось раньше.
Как сообщил сегодня глава Федеральной антимонопольной службы Игорь Артемьев, 5 из них были одобрены комиссией по административной реформе на заседании, состоявшемся на прошедше неделе. Это площадки московского правительства, Татарстана, Сбербанка, РТС и ММВБ. "В ближайшее время появится шестая площадка - Санкт-Петербургская сырьевая биржа, на которой будут осуществляться госзакупки нефтепродуктов", - сказал И.Артемьев. Он отметил, что с 1 июля 2010г. 70% госзакупок должны будут осуществляться через электронные площадки.
http://www.rbc.ru/rbcfreenews/20100125144334.shtml

Новый закон об ЭЦП

noreply@blogger.com (Николай Сеничев) — Thu, 21 Jan 2010 13:17:00 +0000

В Госдуму внесен законопроект "Об электронной подписи".
В кратце. Теперь ЭЦП будет называться просто "электронная подпись". Вводится понятие аккредитации удостоверяющих центров. Необходимо будет страхование ответственности.
Вводится понятие "квалифицированная цифровая подпись", которая будет использоваться для обеспечения юридической значимости документооборота между органами власти, а также для получения государственных (муниципальных) услуг. "Квалифицированные сертификаты" подписи смогут выдавать только аккредитованные удостоверяющие центры. "Простая цифровая подпись" будет использоваться для прочих целей.

Изменения в федеральный закон № 152-ФЗ "О персональных данных"

noreply@blogger.com (Николай Сеничев) — Wed, 16 Dec 2009 11:42:00 +0000

Вступление в силу требований федерального закона № 152-ФЗ "О персональных данных" в части информационных систем, созданных до вступления в силу закона, перенесено на 1 год. Сегодня в третьем чтении приняты соответствующие поправки. У операторов появляется дополнительная возможность более вдумчиво подойти к вопросу защиты.

Оставшиеся документы ФСТЭК по защите персональных данных

noreply@blogger.com (Николай Сеничев) — Thu, 03 Dec 2009 08:32:00 +0000

На сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК России) опубликованы оставшиеся выписки из методических документов по защите персональных данных:

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Парламентские слушания по проблематике защиты персональных данных

noreply@blogger.com (Николай Сеничев) — Fri, 23 Oct 2009 10:14:00 +0000

20 октября прошли Парламентские слушания: «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных».

Пакет материалов можно скачать на сайте Комитета Государственной Думы по безопасности.
Ссылка.

ФСТЭК России опубликовал половину методических документов по защите персональных данных

noreply@blogger.com (Николай Сеничев) — Tue, 13 Oct 2009 08:11:00 +0000

На сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК России) опубликованы выписки из методических документов по защите персональных данных:

Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (выписка);

Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в нформационных системах персональных данных (выписка).

В Госдуму внесен законопроект о введении электронных счетов-фактур

noreply@blogger.com (Николай Сеничев) — Wed, 07 Oct 2009 05:26:00 +0000

Вероятно, в скором времени налогоплательщики получат возможность выставлять и хранить счета-фактуры в электронном виде. Соответствующий проект поправок в статью 169 Налогового кодекса и Федеральный закон о бухгалтерском учёте накануне был наконец-то внесен в Госдуму.

Как известно, сегодня контролирующие органы не позволяют использовать для подтверждения вычетов по НДС электронные счета-фактуры, заверенные ЭЦП руководителя и главного бухгалтера. Специалисты Минфина объясняют это тем, что Федеральный закон «О бухгалтерском учете» позволяет составлять первичные документы на машинных носителях (ст. 9 федерального закона от 21.11.96 № 129-ФЗ). А счета-фактуры первичными документами не являются. Статья 169 Налогового кодекса также не предусматривает возможности заверять счета-фактуры электронно-цифровыми подписями главбуха и руководителя. Следовательно, использование счета-фактуры с электронной цифровой подписью нарушением (письмо от 07.07.09 № 03-07-14/63).

Разговоры о необходимости внести в законодательства поправки, разрешающие применять электронные счета-фактуры, идут давно. От слов к делу в Минфине обещали перейти после проведения тестирования электронных счетов-фактур. Напомним, что недавно финансисты сообщили об успешном завершении проекта. А на днях в Госдуму был внесен законопроект с поправками, посвященными электронным счетам-фактурам.

Изменения в статью 169 НК РФ уточняют, что счет-фактура может быть составлен не только на бумажном носителе, но и в электронном виде. При этом «выставление счёта-фактуры в виде электронного документа допускается в случаях и в порядке, предусмотренных соглашением между продавцом и покупателем». Счета-фактуры должны будут храниться налогоплательщиком в том виде, в котором они получены или выставлены.

А поправки в закон «О бухгалтерском учете» распространяют аналогичные правила на первичные документы бухгалтерского учета, подписанные ЭЦП. Их составление в электронном виде будет возможно по соглашению сторон, храниться они будут в том виде, в котором они были получены. При этом по требованию контролирующих органов налогоплательщики обязаны будут изготовить за свой счет бумажные копии таких документов.

Источник: Бухгалтерия Онлайн, 25 сентября 2009

Утверждены Положение и состав Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных

noreply@blogger.com (Николай Сеничев) — Thu, 17 Sep 2009 06:00:00 +0000

Руководитель Роскомнадзора Сергей Ситников 14 сентября подписал приказ «О Консультативном совете при уполномоченном органе по защите прав субъектов персональных данных». Приказом утверждается Положение и состав Консультативного совета.

Консультативный совет – консультативно-совещательный орган, основными задачами которого, в частности, являются:

гармонизация законодательства Российской Федерации в области защиты персональных данных с учетом общественного мнения и опыта правоприменительной практики;

содействие распространению положительного опыта по организации защиты прав субъектов персональных данных;

содействие формированию позитивного общественного мнения, способствующего созданию и развитию эффективной системы защиты прав субъектов персональных данных;

создание условий для повышения правового уровня и активной гражданской позиции общества.

Председателем Консультативного совета назначен заместитель руководителя Роскомнадзора Роман Шередин.

В состав Консультативного совета вошли представители заинтересованных министерств и ведомств, а так же общественных объединений операторов, осуществляющих обработку персональных данных.

АРБ просит отложить реализацию требований закона о персональных данных

noreply@blogger.com (Николай Сеничев) — Mon, 31 Aug 2009 07:50:00 +0000

Статья, в которой приведены доводы г-на Шепилова, исполнительного дирекора Ассоциации российских банков (АРБ), о необходимости переноса сроков выполнения Закона "О персональных данных". Напомню, предыдущие инициативы банкиров по поводу переноса сроков были отклонены.

Из чего складывается стоимость аутсорсинга мероприятий по защите персональных данных

noreply@blogger.com (Николай Сеничев) — Wed, 15 Jul 2009 10:29:00 +0000

На закономерный вопрос о стоимости работ по защите персональных данных на принципах аутсорсинга ответить не так просто. Операторам необходимо понимать структуру затрат на выполнения мероприятий, чтобы обойтись без казусов в момент визита контролирующих органов. Бытует мнение, что можно показать бумажку (сертификат, аттестат соответствия и т.п.) и на этом все закончится. Однако Росвязькомнадзор так не считает. Программа проверок довольно обширна и включает в себя все явно прописанные требования Федерального закона №152-ФЗ и Постановления Правительства №781. Но требования на этом не заканчиваются. Если у Россвязьнадзора есть основания полагать, что оператором не выполнены технические меры защиты информации или нарушаются правила использования шифровальных (криптографических) средств, то он имеет полное право пригласить для дополнительной проверки ФСТЭК и ФСБ. В настоящее время разрабатываются соответствующие регламенты. Чем это может грозить, понятно без лишних слов. Какие вывод следует сделать из вышесказанного?

Понятно, что для того, чтобы полностью избежать рисков, связанных с санкциями соответствующих органов, необходима комплексная, полная защита персональных данных в соответствии с требованиями законодательства. Из каких же составляющих складывается комплексная защита, а значит и полная стоимость всех мероприятий?

Первый и основополагающий момент – это организационные мероприятия. Необходимо разработать предусмотренные нормативными актами организационно-распорядительные документы, издать соответствующие приказы, назначить ответственных лиц. Здесь следует помнить, что именно ответственные лица понесут ответственность в случае наложения административного взыскания. Важно провести инструктаж лиц, работающих с персональными данными, донести до них важность проводимых мероприятий.

Второе – это описание системы защиты персональных данных. Некоторые ведомства требуют, чтобы описание системы защиты было оформлено в виде технического проекта в соответствии с ГОСТ. Это дополнительные затраты аутсорсера.

Третий момент – средства защиты информации. Следует иметь в виду, что окончательная стоимость средств защиты (технических и программных) будет понятна только в тот момент, когда оператор (силами аутсорсера или собственными силами) провел хотя бы минимальное обследование информационных систем персональных данных и составил акт о классификации. Очевидно, что стоимость средств защиты информации будет разниться в зависимости от класса системы, топологии сети, наличия подключения к сети Интернет, количества персональных компьютеров, на которых ведется обработка персональных данных, и других параметров. Сюда же следует отнести установку и настройку средств защиты, что влечет за собой дополнительные затраты. Необходимо помнить, что некоторые средства защиты могут быть установлены только организацией-лицензиатом ФСБ или ФСТЭК.

Четвертый момент – аттестация введенной в эксплуатацию системы защиты персональных данных. Аттестация обязательна для информационных систем персональных данных самых высоких классов защищенности - 2-го и 1-го. Это последний важный момент, однако он не имеет смысла без предыдущих этапов. Ни один лицензиат не выдаст аттестат соответствия на информационную систему, если не будут выполнены ВСЕ вышеперечисленные требования. Даже если такой найдется, то при визите контролирующих органов все встанет на свои места. И полученная на первый взгляд экономия обернется потерями в виде штрафов и нервных потрясений.

Как можно сэкономить, не нарушая требования Закона?
Во-первых, часть работ оператору вполне по силам сделать самостоятельно. Например, провести инвентаризацию, назначить ответственных лиц, уведомить Россвязькомнадзор о начале обработки персональных данных. А вот более сложные моменты стоит поручить аутсорсеру – от разработки организационных документов, написания технического проекта до поставки и грамотной настройки всех средств защиты а также, безусловно, аттестации. Во-вторых, тщательно подойти к выбору средств защиты информации, например, проконсультировавшись у лицензиата ФСТЭК. Разброс цен на рынке большой, и есть возможность сделать наиболее оптимальный выбор, то есть получить необходимый функционал за меньшие деньги.

Как можно сэкономить еще больше?
Выполнить хотя бы минимальные требования, озвученные в 781-м Постановлении правительства, закупить и настроить (с помощью аутсорсера) средства защиты информации в соответствии с требованиями методических документов ФСТЭК и ФСБ, описать и ввести в эксплуатацию систему. Такой вариант обойдется гораздо дешевле, нежели чем делать все «от и до». Однако операторам следует быть готовым к тому, что контролирующие органы настойчиво попросят их внести доработки в систему защиты, что повлечет дополнительные затраты.

Подводя итог, следует сказать, что вопрос стоимости мероприятий по защите персональных данных индивидуален. Оператор сам волен выбрать объем заказываемых работ. Однако ему следует учитывать риски невыполнения тех или иных требований. И в любом случае, лучше обратиться за консультацией к профессионалам.