понедельник, 27 апреля 2009 г.

Хорватия нам поможет…, или обмен практическим опытом защиты персональных данных

  С каждым днем все больше и больше возникает вопросов, связанных с приведением в соответствие ИСПДн операторов с положениями Федерального закона №152-ФЗ «О персональных данных». Многие компании, которые только сейчас озадачились этой проблемой, пытаются в авральном режиме узнать, что необходимо делать и как это сделать с минимальными затратами?
  Как показывает опыт, основной ошибкой, вернее недопониманием всех операторов является то, что они путают два вопроса, а именно, вопрос «обязательности регистрации на сайте Роскомнадзора в качестве операторов персональных данных» и вопрос «обязательности защиты персональных данных». Возникает ложное ощущение, что многие компании не подпадают под действие закона, если они обрабатывают ПДн только своих сотрудников. При этом, я повторюсь, они путают обязательность защиты ПДн и обязательность регистрации на сайте Роскомнадзора. Так вот, регистрироваться обязаны далеко не все операторы (в ФЗ 152-ФЗ четко прописано кто может не регистрироваться), а вот обеспечивать защиту ПДн ОБЯЗАНЫ ВСЕ операторы, даже если у них в штате находится всего один сотрудник. Как только до людей доходит это понимание, они сразу начинаю бить тревогу и пытаться разобраться, а как же делают другие? И делает ли кто-нибудь хоть что-нибудь? Оказывается, что многие компании уже привели в соответствие или почти привели в соответствие свои ИСПДн требованиям закона. Соответственно, возникает необходимость обмена практическим опытом в этой области.
  Академия Информационных Систем в конце июня 2009 года планирует проведение практической конференции в Хорватии (Макарска) «Защита персональных данных»: обмен опытом в Хорватии.
  Главной целью проведения данного мероприятия, является обмен практическим опытом между организациями, которые успешно начали внедрять и/или внедрили ИСПДн, удовлетворяющие требованиям Федерального Закона № 152-ФЗ.
   В рамках мероприятия состоятся:
   1) Рабочая секция «Характерные недостатки выполнения требований Федерального Закона № 152-ФЗ «О персональных данных». Оценка и характеристика выявленных Роскомнадзором недостатков».
   2) Рабочая секция «Методика оценки защищенности персональных данных в информационной системе организации. Имеются ли отличия от методик, применяемых для оценки защищенности других видов конфиденциальной информации?»
   3) Круглый стол «Особенности построения систем защиты персональных данных в распределено-телекоммуникационных сетях»:
 - Круглый стол «Вопросы подготовки оператора персональных данных (организации-Заказчика) к проведению аудита защищенности персональных данных;
 - Обеспечение неизменности программно-аппаратной среды аттестованной системы защиты от НСД к персональным данным.
  Примечательным является то, что закон «О защите персональных данных» в Хорватии был принят в марте 2003 г. (т.е. на три года раньше, чем в России) и устанавливает правила по сбору и использованию персональной информации. Согласно Закону, физические лица могут получать доступ к информации о себе.
  Получается, что у наших коллег из Хорватии гораздо больше опыта в этом вопросе.

6 комментариев:

  1. Больше опыта в выполнении какого-то совершенно другого закона про персональные данные. Ок. И что?

    ОтветитьУдалить
  2. Обмениваться опытом друг с другом поедут спецы из России. Уже есть достаточно много желающих поехать и пообсуждать данную проблему за границей. Некоторые Россиийские компании готовы поделиться опытом именно на выезде ;).
    А про опыт Хорватии я написал для красивого словца ;).

    ОтветитьУдалить
  3. Что касается путаницы, обеспечивать защиту/регистрироваться в качестве оператора - это верно замечено!
    Про "Оказывается, что многие компании уже привели в соответствие или почти привели в соответствие свои ИСПДн требованиям закона" не соглашусь, российские компании лишь в начале пути, мало тех, кто может похвастаться соответствием.

    ОтветитьУдалить
  4. Согласен, но опять-таки как на это посмотреть. Если мы говорим про ИС, построенные до середины 2006 года, то ДА, а ИС построенные после - уже должны полностью соответствовать. Ты хочешь сказать, что нет ни одной компании, которая внедрила ИС после июня 2006 года?

    ОтветитьУдалить
  5. Допускаю, что где-то/как-то такие системы проектировали и внедряли, но долго работал в ТОР'овом интеграторе, так там не заморачивались, и от других не слышал (только осенью 2008 опомнились).

    ОтветитьУдалить
  6. Я не думал, что все так запущено :(. В любом случае обмениваться практическим опытом нужно. Я конечно понимаю, что многие компании сейчас больше наводят панику, чем реально пытаются оценить ситуацию и кричат что все плохо и никто ничего не успеет. Но есть же компании которые провели оценку реального состояния защищенности ИС, оптимизировали их, разработали модели угроз и нарушителей и приступили к их реализации (естественно предварительно согласовав их с регуляторами).Вот они и могут многое рассказать о подводных камнях. Также РКН уже имеет перечень типовые недостатков, которые встречаются у большинства операторов и они ими могут поделиться.

    ОтветитьУдалить