Изменения в федеральный закон № 152-ФЗ "О персональных данных"

Вступление в силу требований федерального закона № 152-ФЗ "О персональных данных" в части информационных систем, созданных до вступления в силу закона, перенесено на 1 год. Сегодня в третьем чтении приняты соответствующие поправки. У операторов появляется дополнительная возможность более вдумчиво подойти к вопросу защиты.

Оставшиеся документы ФСТЭК по защите персональных данных

На сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК России) опубликованы оставшиеся выписки из методических документов по защите персональных данных:

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Парламентские слушания по проблематике защиты персональных данных

20 октября прошли Парламентские слушания: «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных».

Пакет материалов можно скачать на сайте Комитета Государственной Думы по безопасности.
Ссылка.

ФСТЭК России опубликовал половину методических документов по защите персональных данных

На сайте Федеральной службы по техническому и экспортному контролю (ФСТЭК России) опубликованы выписки из методических документов по защите персональных данных:




Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (выписка);

Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в нформационных системах персональных данных (выписка).

В Госдуму внесен законопроект о введении электронных счетов-фактур

Вероятно, в скором времени налогоплательщики получат возможность выставлять и хранить счета-фактуры в электронном виде. Соответствующий проект поправок в статью 169 Налогового кодекса и Федеральный закон о бухгалтерском учёте накануне был наконец-то внесен в Госдуму.

Как известно, сегодня контролирующие органы не позволяют использовать для подтверждения вычетов по НДС электронные счета-фактуры, заверенные ЭЦП руководителя и главного бухгалтера. Специалисты Минфина объясняют это тем, что Федеральный закон «О бухгалтерском учете» позволяет составлять первичные документы на машинных носителях (ст. 9 федерального закона от 21.11.96 № 129-ФЗ). А счета-фактуры первичными документами не являются. Статья 169 Налогового кодекса также не предусматривает возможности заверять счета-фактуры электронно-цифровыми подписями главбуха и руководителя. Следовательно, использование счета-фактуры с электронной цифровой подписью нарушением (письмо от 07.07.09 № 03-07-14/63).

Разговоры о необходимости внести в законодательства поправки, разрешающие применять электронные счета-фактуры, идут давно. От слов к делу в Минфине обещали перейти после проведения тестирования электронных счетов-фактур. Напомним, что недавно финансисты сообщили об успешном завершении проекта. А на днях в Госдуму был внесен законопроект с поправками, посвященными электронным счетам-фактурам.

Изменения в статью 169 НК РФ уточняют, что счет-фактура может быть составлен не только на бумажном носителе, но и в электронном виде. При этом «выставление счёта-фактуры в виде электронного документа допускается в случаях и в порядке, предусмотренных соглашением между продавцом и покупателем». Счета-фактуры должны будут храниться налогоплательщиком в том виде, в котором они получены или выставлены.

А поправки в закон «О бухгалтерском учете» распространяют аналогичные правила на первичные документы бухгалтерского учета, подписанные ЭЦП. Их составление в электронном виде будет возможно по соглашению сторон, храниться они будут в том виде, в котором они были получены. При этом по требованию контролирующих органов налогоплательщики обязаны будут изготовить за свой счет бумажные копии таких документов.



Источник: Бухгалтерия Онлайн, 25 сентября 2009

Утверждены Положение и состав Консультативного совета при уполномоченном органе по защите прав субъектов персональных данных

Руководитель Роскомнадзора Сергей Ситников 14 сентября подписал приказ «О Консультативном совете при уполномоченном органе по защите прав субъектов персональных данных». Приказом утверждается Положение и состав Консультативного совета.

Консультативный совет – консультативно-совещательный орган, основными задачами которого, в частности, являются:

гармонизация законодательства Российской Федерации в области защиты персональных данных с учетом общественного мнения и опыта правоприменительной практики;

содействие распространению положительного опыта по организации защиты прав субъектов персональных данных;

содействие формированию позитивного общественного мнения, способствующего созданию и развитию эффективной системы защиты прав субъектов персональных данных;

создание условий для повышения правового уровня и активной гражданской позиции общества.

Председателем Консультативного совета назначен заместитель руководителя Роскомнадзора Роман Шередин.

В состав Консультативного совета вошли представители заинтересованных министерств и ведомств, а так же общественных объединений операторов, осуществляющих обработку персональных данных.

АРБ просит отложить реализацию требований закона о персональных данных

Статья, в которой приведены доводы г-на Шепилова, исполнительного дирекора Ассоциации российских банков (АРБ), о необходимости переноса сроков выполнения Закона "О персональных данных". Напомню, предыдущие инициативы банкиров по поводу переноса сроков были отклонены.

Из чего складывается стоимость аутсорсинга мероприятий по защите персональных данных

На закономерный вопрос о стоимости работ по защите персональных данных на принципах аутсорсинга ответить не так просто. Операторам необходимо понимать структуру затрат на выполнения мероприятий, чтобы обойтись без казусов в момент визита контролирующих органов. Бытует мнение, что можно показать бумажку (сертификат, аттестат соответствия и т.п.) и на этом все закончится. Однако Росвязькомнадзор так не считает. Программа проверок довольно обширна и включает в себя все явно прописанные требования Федерального закона №152-ФЗ и Постановления Правительства №781. Но требования на этом не заканчиваются. Если у Россвязьнадзора есть основания полагать, что оператором не выполнены технические меры защиты информации или нарушаются правила использования шифровальных (криптографических) средств, то он имеет полное право пригласить для дополнительной проверки ФСТЭК и ФСБ. В настоящее время разрабатываются соответствующие регламенты. Чем это может грозить, понятно без лишних слов. Какие вывод следует сделать из вышесказанного?

Понятно, что для того, чтобы полностью избежать рисков, связанных с санкциями соответствующих органов, необходима комплексная, полная защита персональных данных в соответствии с требованиями законодательства. Из каких же составляющих складывается комплексная защита, а значит и полная стоимость всех мероприятий?

Первый и основополагающий момент – это организационные мероприятия. Необходимо разработать предусмотренные нормативными актами организационно-распорядительные документы, издать соответствующие приказы, назначить ответственных лиц. Здесь следует помнить, что именно ответственные лица понесут ответственность в случае наложения административного взыскания. Важно провести инструктаж лиц, работающих с персональными данными, донести до них важность проводимых мероприятий.

Второе – это описание системы защиты персональных данных. Некоторые ведомства требуют, чтобы описание системы защиты было оформлено в виде технического проекта в соответствии с ГОСТ. Это дополнительные затраты аутсорсера.

Третий момент – средства защиты информации. Следует иметь в виду, что окончательная стоимость средств защиты (технических и программных) будет понятна только в тот момент, когда оператор (силами аутсорсера или собственными силами) провел хотя бы минимальное обследование информационных систем персональных данных и составил акт о классификации. Очевидно, что стоимость средств защиты информации будет разниться в зависимости от класса системы, топологии сети, наличия подключения к сети Интернет, количества персональных компьютеров, на которых ведется обработка персональных данных, и других параметров. Сюда же следует отнести установку и настройку средств защиты, что влечет за собой дополнительные затраты. Необходимо помнить, что некоторые средства защиты могут быть установлены только организацией-лицензиатом ФСБ или ФСТЭК.


Четвертый момент – аттестация введенной в эксплуатацию системы защиты персональных данных. Аттестация обязательна для информационных систем персональных данных самых высоких классов защищенности - 2-го и 1-го. Это последний важный момент, однако он не имеет смысла без предыдущих этапов. Ни один лицензиат не выдаст аттестат соответствия на информационную систему, если не будут выполнены ВСЕ вышеперечисленные требования. Даже если такой найдется, то при визите контролирующих органов все встанет на свои места. И полученная на первый взгляд экономия обернется потерями в виде штрафов и нервных потрясений.

Как можно сэкономить, не нарушая требования Закона?
Во-первых, часть работ оператору вполне по силам сделать самостоятельно. Например, провести инвентаризацию, назначить ответственных лиц, уведомить Россвязькомнадзор о начале обработки персональных данных. А вот более сложные моменты стоит поручить аутсорсеру – от разработки организационных документов, написания технического проекта до поставки и грамотной настройки всех средств защиты а также, безусловно, аттестации. Во-вторых, тщательно подойти к выбору средств защиты информации, например, проконсультировавшись у лицензиата ФСТЭК. Разброс цен на рынке большой, и есть возможность сделать наиболее оптимальный выбор, то есть получить необходимый функционал за меньшие деньги.

Как можно сэкономить еще больше?
Выполнить хотя бы минимальные требования, озвученные в 781-м Постановлении правительства, закупить и настроить (с помощью аутсорсера) средства защиты информации в соответствии с требованиями методических документов ФСТЭК и ФСБ, описать и ввести в эксплуатацию систему. Такой вариант обойдется гораздо дешевле, нежели чем делать все «от и до». Однако операторам следует быть готовым к тому, что контролирующие органы настойчиво попросят их внести доработки в систему защиты, что повлечет дополнительные затраты.

Подводя итог, следует сказать, что вопрос стоимости мероприятий по защите персональных данных индивидуален. Оператор сам волен выбрать объем заказываемых работ. Однако ему следует учитывать риски невыполнения тех или иных требований. И в любом случае, лучше обратиться за консультацией к профессионалам.

Все электронные аукционы по закупкам будут проходить через три государственные электронные площадки

Глава Сбербанка Герман Греф презентовал дочернюю компанию банка — «Сбербанк-АСТ», которая будет выполнять функции оператора по организации и проведению открытых аукционов для государственных закупок в электронной форме. С июля этого года правительство постановило, что государственные структуры, министерст­ва и ведомства смогут осуществлять госзакупки лишь на государственных электронных площадках, а не на част­ных, как было ранее. Распоряжением правительства от 1 июня 2009 года №755-р такими площадками были определены «Сбербанк-АСТ», «Единая электронная торговая площадка» и ФГУП «Агентство по государственному заказу, инвестиционной деятельности и межрегиональным связям Республики Татарстан». Перевод госзакупок с аукционов на электронные площадки был осуществлен, чтобы снизить коррумпированность и непрозрачность в сфере проведения госзакупок, которые неоднократно выявлялись ФАС. Так, например, недавно служба запретила указывать в наименовании госзаказов латинские буквы: зачастую заказчики подменяли русские буквы в предмете заказа, что исключало данные закупки из поиска на официальном сайте.

«Мы подключились в эту систему исходя из двух соображений. Во-первых, мы все это время продолжали работу с МЭР и ФАС, а во-вторых, мы увидели для себя перспективы развития бизнеса», — рассказал вчера Герман Греф. По его словам, создание такой электронной площадки — это системная мера по формированию значительно более конкурентной, более прозрачной среды в стране в целом.

Электронная площадка «Сбербанк-АСТ» была создана на базе компании «Амбит-Сервис», 100% которой Сбербанк приобрел в середине января текущего года. Как отметил Герман Греф, инвестиции в этот проект составили около 10 млн долл. Сбербанк рассчитывает окупить эти средства в течение двух-трех лет. Порядок проведения электронных торгов на «Сбербанк-АСТ» позволяет не раскрывать наименования компаний-претендентов на предварительном этапе проведения аукциона — указывается лишь стоимость предлагаемых товаров и услуг. «Когда от востока до Калининграда любой предприниматель с помощью электронно-цифровой подписи сможет войти в систему, я думаю, что участников будет не один и не пять, а будет двадцать или даже сто. И в этой ситуации заказчику-коррупционеру будет очень трудно», — заявил вчера глава ФАС Игорь Артемьев. По его мнению, появление таких площадок, как площадка Сбербанка, это мощная антикоррупционная мера — из тех, которые были приняты в последнее время. «В зависимости от того, какие заказчики будут выходить на электронные аукционы, можно будет делать вывод о прозрачности соответст­вующих ведомств», — отметил Герман Греф. «Я хочу сказать от имени ФАС, что мы буквально со следующего дня выйдем на заказы через электронную площадку», — добавил сразу же г-н Артемьев.

В свою очередь вице-президент «ОПОРА России» Владислав Корочкин отмечает: «Система электронных закупок предполагает открытость, то есть практически все предприятия, где бы они ни находились, хоть рядом с заказчиком, хоть за тысячу километров, имеют возможность принять участие. Единственным критерием является предложенная цена. При большом количестве участников, при их анонимности и при единственном критерии это потенциально резко снижает коррупционность».

С ним согласен и председатель комитета по экономической политике, предпринимательству и собственности Совета Федерации, член Национального банковского совета Оганес Оганян: «Торговля на уполномоченных государственных сайтах, которые являются публичными и открытыми, для всех компаний и любых предпринимателей, которые готовы принимать участие в поставках, — это шаг вперед». По мнению г-на Оганяна, это снизит коррумпированность и нагрузку на бюджет, потому что закупки станут более эффективными и менее дорогими, к тому же на таких аукционах будет минимизирован человеческий фактор, который являлся элементом коррумпированности». «Понятно, что госзакупки возможны по очень ограниченному перечню товаров. Я за то, чтобы была конкуренция в госзакупках, чтобы была прозрачность, если новая система будет работать — это хорошо», — заявил директор по макроэкономическим исследованиям ВШЭ Сергей Алексашенко.

Источник rbcdaily.ru (c)

Персональные данные: просьба банкиров о переносе сроков отклонена

Роскомнадзор ответил на обращение банкиров по поводу переноса сроков аудита ИС на соответствие 152-ФЗ. Ведомство посчитало, что изменять дату нецелесообразно, однако, признало, что для устранения существующих сложностей возможны изменения в законах, касающихся ПД.

Ассоциация региональных банков России получила официальный ответ федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) на обращение ее главы Анатолия Аксакова по поводу переноса сроков аудита на соответствие 152-ФЗ информационных систем, связанных с обработкой персональных данных (ИСПДн). В документе говорится, что изменение сроков нецелесообразно и с первого января 2010 г. все ИС операторов ПД должны будут соответствовать требованиям закона.

Кроме того, в ответе говорится, что «проблемные вопросы напрямую связаны с существующей методологией защиты ИСПДн, требующей проведения их классификации и использования криптографических средств защиты информации». Регулятор признает, что сегодняшняя методология сложна и затратна для большинства операторов. Роскомнадзор считает, что для устранения подобных сложностей возможны изменения в законах, касающихся ПД. Однако, ведомство не наделено соответствующими законотворческими полномочиями.

«С точки зрения буквы закона Роскомнадзор дал вполне корректный ответ, - заявил CNews Андрей Полозов-Яблонский, председатель комитета по электронным билетам Национальной ассоциации участников электронной торговли (НАУЭТ). – Для приведения систем в надлежащий вид закон предусматривал достаточное количество времени». Эксперт считает, что за те три года, которые были даны организациям, многие из них успели просто забыть о самом законе.

Анатолий Аксаков: Если сегодня Роскомнадзор будет проводить аудит соответствующих компаний, то ему нужно будет проверять ежедневно около 1000 организаций
Полозов-Яблонский говорит, что многие компании ждали, во-первых, каких-то указаний от профильных для себя министерств, и, во-вторых, оглядывались на соседей по рынку. Если указаний не было, а коллеги не занимались защитой ПД, то организации полагали, что и им ничего делать не нужно.

«Фактически сейчас мы имеем очень большое количество работы и очень сжатые сроки. Компаний, которые имеют лицензию на проведение аудита, очень немного. Обработать весь массив операторов ПД в оставшееся время просто невозможно», - описывает сложившуюся ситуацию Полозов-Яблонский.

Эксперт замечает, что с первого января можно будет заходить практически в каждую компанию, имеющую отношение к обработке ПД, и выносить предписание в соответствии с требованиями закона. «Это вызовет паралич коммерческой деятельности, в кризис это никому не нужно. По самым разным причинам делать это нецелесообразно», - добавляет он.
«Если сегодня Роскомнадзор будет проводить аудит соответствующих компаний, то ему нужно будет проверять ежедневно около 1000 организаций, - говорит Анатолий Аксаков, депутат Госдумы и президент ассоциации «Россия», инициировавший обращение в Роскомнадзор. – Что это нереально - прекрасно понимают все. А когда закон объективно невыполним, то возникают возможности для коррупции».

«Мы отталкиваемся от защиты субъектов ПД, - пояснила CNews Лариса Васильева, начальник управления по защите прав субъектов персональных данных Роскомнадзора. – Это наша основная задача, как уполномоченного органа. Мы считаем, что перенос сроков аудита информационных систем не скажется положительным образом на этой главной цели 152-ФЗ». Согласившись с тем, что количество лицензированных для проведения аудита компаний сейчас недостаточно, она добавила, что представители Роскомнадзора готовы встречаться с операторами ПД для обсуждения, в том числе, и этой проблемы. О чем и говорится во второй части ответа Роскомнадзора банкирам.

Дмитрий Назипов, старший вице-президент ВТБ, считает, что вторая часть письма действительно важна не менее первой. «То, что Роскомнадзор готов рассмотреть изменения в законодательной базе открывает перед операторами возможность внесения собственных предложений, - говорит он. – Однако законодательные инициативы возможны теперь только на осенней сессии». По словам Назипова, ответ не рассеял озабоченность операторов, и после летних каникул они вновь начнут вести работу по ослаблению требований закона.
«Суровость федерального закона тяжело смягчить изменениями лишь подзаконных актов, хотя корректировать их, конечно, легче. Модифицировать же сам ФЗ возможно только при активных действиях лоббистских сил», - добавляет Назипов. Аксаков говорит, что осенью обязательно будут организованы парламентские слушания, на которых он с коллегами постарается доказать, что дату необходимо переносить.

Рассуждая о том, что еще можно предпринять, Полозов-Яблонский сказал, что было бы разумно определить период, в течение которого меры были бы лишь предупредительными. Но указать, что организации, получившие такие предписания, например, с первого января 2011 г. наказываться будут уже по самой верхней планке.

Источник - CNews.ru

Закон о персональных данных. Чем грозит?

В феврале 2007 года вступил в силу Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных». Согласно ему организации и учреждения обязаны осуществлять мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах. Контролирующие органы – Россвязькомнадзор, ФСТЭК и ФСБ.

Закон №152-ФЗ призван защитить совокупность прав и свобод человека при автоматизированной обработке его персональной информации (адрес, номер телефона, семейное, социальное, имущественное положение, образование, профессия, размер доходов, отношение к религии, информация о его здоровье), в том числе права на неприкосновенность частной жизни, личную и семейную тайну.

По сути, закон ставит своей целью ввести достаточно жесткие ограничения, которым должна следовать организация, обрабатывающая персональные данные. Персональные данные поделены на категории, чем выше категория – тем более серьёзные меры необходимо предпринимать для защиты данных. Стоит отметить, что наличие в штате госслужащих автоматически повышает категорию защиты персональных данных.

Организации, эксплуатирующие информационные системы персональных данных определенных классов, должны получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. Кроме того, технические средства, которые будут использованы для защиты персональных данных, должны быть сертифицированы ФСТЭК России. Именно методики ФСТЭК России должны быть положены в основу «Модели угроз» для каждой информационной системы, обрабатывающей персональных данных. Этот документ предстоит разработать каждому оператору персональных данных. Именно на выполнении этих аспектов оператором, скорее всего, и будут сфокусированы сотрудники ФСТЭК России, привлекаемые для проверок.

Закон также требует, чтобы организации, эксплуатирующие информационные системы персональных данных определенных классов и передающие персональных данных через общедоступные и международные сети обеспечили их защиту с использование криптографических средств. А деятельность по внедрению шифровальных (криптографических средств), как и по разработке телекоммуникационных систем, защищенных с использованием данных средств, подлежит лицензированию в органах ФСБ России. Так что специалисты ФСБ, в первую очередь уделят внимание наличию необходимых лицензий и использованию средств криптографической защиты информации, перечисленных в реестре ФСБ.

Предусмотрена серьезная ответственность за нарушение норм законодательства в области информационной безопасности по следующим статьям: УК РФ: ст. 272 п.п.1,2, ст. 171, Кодекса об административных правонарушениях РФ: ст.ст. 13.11, 13.14, 19.7 и др. Помимо ответственности, предусмотренной законодательством, необходимо отметить возможные последствия невыполнения закона в виде обоснованных исков от субъектов персональных данных к организациям и учреждениям, ведущим незаконную, либо не соответствующую требованиям ФСБ и ФСТЭК обработку персональных данных.

В рамках реализации требований данного закона, организациям в срок до 1 января 2010 года необходимо привести информационные системы в соответствие с законодательством. В большинстве случаев, выполнение требований закона невозможно без участия сторонних организаций, обладающими необходимыми лицензиями.