RSS
Реализация положений федерального закона 152 ФЗ "О защите персональных данных"
До вступления федерального закона 152-ФЗ «О защите персональных данных» в законную силу без исключения отдельных положений осталось совсем немного. Что же его вступление принесет практике? В настоящей статье мы рассмотрим основные моменты закона о защите персональных данных, и подходы к его реализации.
Основные термины и определения, используемые в Законе
Основополагающим понятием, которое приведено в тексте Закона, является определение персональных данных: "...любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация".
Кроме этого, в Законе также введено понятие "оператор", которое определяется следующим образом: "...государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных". Таким образом, под действие данного Закона подпадает практически любая организация, которая обрабатывает персональные данные своих сотрудников или клиентов.
Еще одним важным термином, который определен в рамках Закона, является понятие обработки персональных данных: "...действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных". Можно видеть, что под обработкой понимается максимально широкий спектр операций с персональными данными. Так, если организация осуществляет только хранение или передачу персональных данных, то эти действия также являются обработкой.
Требования по защите персональных данных
Согласно ст. 19 Федерального закона "оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".
Кроме того, в соответствии с положениями Закона обработка персональных данных может осуществляться только с согласия субъекта в письменной форме. В качестве альтернативы письменной формы согласия можно использовать электронную цифровую подпись. Однако в Законе есть ряд исключений, в частности согласие субъекта не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
Еще одно требование сформулировано в ст. 22 Федерального закона: "Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных". Однако и в данной статье предусмотрен целый ряд исключений. Так, если организация обрабатывает только персональные данные своих работников, то в этом случае она может вести обработку без уведомления уполномоченного органа.
В качестве уполномоченного органа выступает Роскомнадзор (www.rsoc.ru), на сайте которого можно получить информацию о форме уведомления и порядке ее заполнения. Именно Роскомнадзор с формальной точки зрения отвечает за соблюдение требований законодательства в области защиты персональных данных. На сайте регулятора можно ознакомиться с планом проверок на текущий и следующий годы, а также с их некоторыми результатами.
Необходимо отметить, что в текстах Федерального закона и соответствующих постановлениях Правительства РФ сформулированы лишь общие требования по защите персональных данных. Именно поэтому в начале 2008 г. ФСТЭК (Федеральной службой по техническому и экспортному контролю) и ФСБ (Федеральной службой безопасности) был утвержден пакет документов с более детальными техническими требованиями по защите персональных данных. Данные требования ФСТЭК и ФСБ являются методической основой для создания систем обеспечения безопасности персональных данных, соответствующих требованиям Федерального закона.
Ответственность за нарушение требований по защите персональных данных
В соответствии со ст. 24 Федерального закона "лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность". На практике нарушение требований Федерального закона может привести к одному из следующих последствий:
- приостановление или прекращение обработки персональных данных (ПДн), осуществляемой с нарушением требований Федерального закона "О персональных данных";
- направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов ПДн;
- приостановка действия или лишение лицензий, без которых деятельность по обработке персональных данных становится незаконной;
- конфискация несертифицированных средств защиты информации. С учетом того что определенные механизмы безопасности интегрированы в общесистемное и прикладное ПО, в ряде случаев возможна конфискация серверов и рабочих станций, обрабатывающих персональные данные;
- привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей Уголовного и Административного кодексов.
Кроме того, согласно п. 3 ст. 21 "в случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные". При этом очевидно, что уничтожение персональных данных для организаций, работающих с физическими лицами, например банков или страховых компаний, уничтожение персональных данных равносильно приостановке бизнеса.
Процесс создания системы защиты персональных данных
Для реализации требований Федерального закона "О персональных данных" необходимо создание и внедрение комплексной системы защиты. Как правило, процесс создания такой системы защиты включает в себя следующие основные этапы:
- проведение обследования с целью оценки соответствия организации требованиям Закона о персональных данных;
- разработка модели угроз безопасности ПДн;
- разработка модели нарушителя (в случае использования каналов связи для передачи ПДн);
- проектирование системы защиты ПДн в составе информационной системы, обрабатывающей персональные данные (ИСПДн);
- разработка комплекта организационно-распорядительных документов по защите персональных данных;
- внедрение системы защиты персональных данных;
- аттестация информационной системы персональных данных по требованиям безопасности информации.
Работы по созданию системы защиты персональных данных могут выполняться силами самой организации либо при помощи компаний, специализирующихся на оказании такого рода услуг.
* * *
В настоящее время многие критикуют Федеральный закон "О персональных данных" за излишне жесткие требования и рассматривают его как очередной повод для государственных регуляторов по проведению тех или иных проверок. Тем не менее, с нашей точки зрения, принятие данного Закона было необходимой мерой и позволило создать правовую основу для защиты персональных данных. Безусловно, как в самом Законе, так и в нормативных документах, созданных на его основе, все еще остается немало "белых пятен", однако все эти недостатки могут быть доработаны в рабочем порядке.
На сегодняшний день можно с уверенностью сказать, что принятие Закона позволило привлечь внимание руководства российских компаний к проблеме обеспечения информационной безопасности. Так, если раньше во многих организациях подразделения, отвечающие за защиту информации, финансировались по остаточному принципу, то теперь благодаря Закону они полноценным образом участвуют в процессе планирования затрат на решения по защите информации.
В.Сердюк
К. т. н., CISSP, генеральный директор ЗАО "ДиалогНаука"
"Бухгалтерия и банки", 2010
Основные термины и определения, используемые в Законе
Основополагающим понятием, которое приведено в тексте Закона, является определение персональных данных: "...любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация".
Кроме этого, в Законе также введено понятие "оператор", которое определяется следующим образом: "...государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных". Таким образом, под действие данного Закона подпадает практически любая организация, которая обрабатывает персональные данные своих сотрудников или клиентов.
Еще одним важным термином, который определен в рамках Закона, является понятие обработки персональных данных: "...действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных". Можно видеть, что под обработкой понимается максимально широкий спектр операций с персональными данными. Так, если организация осуществляет только хранение или передачу персональных данных, то эти действия также являются обработкой.
Требования по защите персональных данных
Согласно ст. 19 Федерального закона "оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".
Кроме того, в соответствии с положениями Закона обработка персональных данных может осуществляться только с согласия субъекта в письменной форме. В качестве альтернативы письменной формы согласия можно использовать электронную цифровую подпись. Однако в Законе есть ряд исключений, в частности согласие субъекта не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
Еще одно требование сформулировано в ст. 22 Федерального закона: "Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных". Однако и в данной статье предусмотрен целый ряд исключений. Так, если организация обрабатывает только персональные данные своих работников, то в этом случае она может вести обработку без уведомления уполномоченного органа.
В качестве уполномоченного органа выступает Роскомнадзор (www.rsoc.ru), на сайте которого можно получить информацию о форме уведомления и порядке ее заполнения. Именно Роскомнадзор с формальной точки зрения отвечает за соблюдение требований законодательства в области защиты персональных данных. На сайте регулятора можно ознакомиться с планом проверок на текущий и следующий годы, а также с их некоторыми результатами.
Необходимо отметить, что в текстах Федерального закона и соответствующих постановлениях Правительства РФ сформулированы лишь общие требования по защите персональных данных. Именно поэтому в начале 2008 г. ФСТЭК (Федеральной службой по техническому и экспортному контролю) и ФСБ (Федеральной службой безопасности) был утвержден пакет документов с более детальными техническими требованиями по защите персональных данных. Данные требования ФСТЭК и ФСБ являются методической основой для создания систем обеспечения безопасности персональных данных, соответствующих требованиям Федерального закона.
Ответственность за нарушение требований по защите персональных данных
В соответствии со ст. 24 Федерального закона "лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность". На практике нарушение требований Федерального закона может привести к одному из следующих последствий:
- приостановление или прекращение обработки персональных данных (ПДн), осуществляемой с нарушением требований Федерального закона "О персональных данных";
- направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов ПДн;
- приостановка действия или лишение лицензий, без которых деятельность по обработке персональных данных становится незаконной;
- конфискация несертифицированных средств защиты информации. С учетом того что определенные механизмы безопасности интегрированы в общесистемное и прикладное ПО, в ряде случаев возможна конфискация серверов и рабочих станций, обрабатывающих персональные данные;
- привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей Уголовного и Административного кодексов.
Кроме того, согласно п. 3 ст. 21 "в случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные". При этом очевидно, что уничтожение персональных данных для организаций, работающих с физическими лицами, например банков или страховых компаний, уничтожение персональных данных равносильно приостановке бизнеса.
Процесс создания системы защиты персональных данных
Для реализации требований Федерального закона "О персональных данных" необходимо создание и внедрение комплексной системы защиты. Как правило, процесс создания такой системы защиты включает в себя следующие основные этапы:
- проведение обследования с целью оценки соответствия организации требованиям Закона о персональных данных;
- разработка модели угроз безопасности ПДн;
- разработка модели нарушителя (в случае использования каналов связи для передачи ПДн);
- проектирование системы защиты ПДн в составе информационной системы, обрабатывающей персональные данные (ИСПДн);
- разработка комплекта организационно-распорядительных документов по защите персональных данных;
- внедрение системы защиты персональных данных;
- аттестация информационной системы персональных данных по требованиям безопасности информации.
Работы по созданию системы защиты персональных данных могут выполняться силами самой организации либо при помощи компаний, специализирующихся на оказании такого рода услуг.
* * *
В настоящее время многие критикуют Федеральный закон "О персональных данных" за излишне жесткие требования и рассматривают его как очередной повод для государственных регуляторов по проведению тех или иных проверок. Тем не менее, с нашей точки зрения, принятие данного Закона было необходимой мерой и позволило создать правовую основу для защиты персональных данных. Безусловно, как в самом Законе, так и в нормативных документах, созданных на его основе, все еще остается немало "белых пятен", однако все эти недостатки могут быть доработаны в рабочем порядке.
На сегодняшний день можно с уверенностью сказать, что принятие Закона позволило привлечь внимание руководства российских компаний к проблеме обеспечения информационной безопасности. Так, если раньше во многих организациях подразделения, отвечающие за защиту информации, финансировались по остаточному принципу, то теперь благодаря Закону они полноценным образом участвуют в процессе планирования затрат на решения по защите информации.
В.Сердюк
К. т. н., CISSP, генеральный директор ЗАО "ДиалогНаука"
"Бухгалтерия и банки", 2010
Другие новости по теме:
Закон "О защите персональных данных": ответы на вопросы Согласие на обработку персональных данных ОБРАЗЕЦ Закон «О персональных данных» вступит в силу 1 июля 2011 г. Закон о "О защите персональных данных" вступит в силу еще через год Обработка персональных данных: оформление согласия и его отзыв Отзыв согласия на обработку персональных данных ОБРАЗЕЦ