В феврале 2007 года вступил в силу Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных». Согласно ему организации и учреждения обязаны осуществлять мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах. Контролирующие органы – Россвязькомнадзор, ФСТЭК и ФСБ.
Закон №152-ФЗ призван защитить совокупность прав и свобод человека при автоматизированной обработке его персональной информации (адрес, номер телефона, семейное, социальное, имущественное положение, образование, профессия, размер доходов, отношение к религии, информация о его здоровье), в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
По сути, закон ставит своей целью ввести достаточно жесткие ограничения, которым должна следовать организация, обрабатывающая персональные данные. Персональные данные поделены на категории, чем выше категория – тем более серьёзные меры необходимо предпринимать для защиты данных. Стоит отметить, что наличие в штате госслужащих автоматически повышает категорию защиты персональных данных.
Организации, эксплуатирующие информационные системы персональных данных определенных классов, должны получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. Кроме того, технические средства, которые будут использованы для защиты персональных данных, должны быть сертифицированы ФСТЭК России. Именно методики ФСТЭК России должны быть положены в основу «Модели угроз» для каждой информационной системы, обрабатывающей персональных данных. Этот документ предстоит разработать каждому оператору персональных данных. Именно на выполнении этих аспектов оператором, скорее всего, и будут сфокусированы сотрудники ФСТЭК России, привлекаемые для проверок.
Закон также требует, чтобы организации, эксплуатирующие информационные системы персональных данных определенных классов и передающие персональных данных через общедоступные и международные сети обеспечили их защиту с использование криптографических средств. А деятельность по внедрению шифровальных (криптографических средств), как и по разработке телекоммуникационных систем, защищенных с использованием данных средств, подлежит лицензированию в органах ФСБ России. Так что специалисты ФСБ, в первую очередь уделят внимание наличию необходимых лицензий и использованию средств криптографической защиты информации, перечисленных в реестре ФСБ.
Предусмотрена серьезная ответственность за нарушение норм законодательства в области информационной безопасности по следующим статьям: УК РФ: ст. 272 п.п.1,2, ст. 171, Кодекса об административных правонарушениях РФ: ст.ст. 13.11, 13.14, 19.7 и др. Помимо ответственности, предусмотренной законодательством, необходимо отметить возможные последствия невыполнения закона в виде обоснованных исков от субъектов персональных данных к организациям и учреждениям, ведущим незаконную, либо не соответствующую требованиям ФСБ и ФСТЭК обработку персональных данных.
В рамках реализации требований данного закона, организациям в срок до 1 января 2010 года необходимо привести информационные системы в соответствие с законодательством. В большинстве случаев, выполнение требований закона невозможно без участия сторонних организаций, обладающими необходимыми лицензиями.
Закон №152-ФЗ призван защитить совокупность прав и свобод человека при автоматизированной обработке его персональной информации (адрес, номер телефона, семейное, социальное, имущественное положение, образование, профессия, размер доходов, отношение к религии, информация о его здоровье), в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
По сути, закон ставит своей целью ввести достаточно жесткие ограничения, которым должна следовать организация, обрабатывающая персональные данные. Персональные данные поделены на категории, чем выше категория – тем более серьёзные меры необходимо предпринимать для защиты данных. Стоит отметить, что наличие в штате госслужащих автоматически повышает категорию защиты персональных данных.
Организации, эксплуатирующие информационные системы персональных данных определенных классов, должны получить лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации. Кроме того, технические средства, которые будут использованы для защиты персональных данных, должны быть сертифицированы ФСТЭК России. Именно методики ФСТЭК России должны быть положены в основу «Модели угроз» для каждой информационной системы, обрабатывающей персональных данных. Этот документ предстоит разработать каждому оператору персональных данных. Именно на выполнении этих аспектов оператором, скорее всего, и будут сфокусированы сотрудники ФСТЭК России, привлекаемые для проверок.
Закон также требует, чтобы организации, эксплуатирующие информационные системы персональных данных определенных классов и передающие персональных данных через общедоступные и международные сети обеспечили их защиту с использование криптографических средств. А деятельность по внедрению шифровальных (криптографических средств), как и по разработке телекоммуникационных систем, защищенных с использованием данных средств, подлежит лицензированию в органах ФСБ России. Так что специалисты ФСБ, в первую очередь уделят внимание наличию необходимых лицензий и использованию средств криптографической защиты информации, перечисленных в реестре ФСБ.
Предусмотрена серьезная ответственность за нарушение норм законодательства в области информационной безопасности по следующим статьям: УК РФ: ст. 272 п.п.1,2, ст. 171, Кодекса об административных правонарушениях РФ: ст.ст. 13.11, 13.14, 19.7 и др. Помимо ответственности, предусмотренной законодательством, необходимо отметить возможные последствия невыполнения закона в виде обоснованных исков от субъектов персональных данных к организациям и учреждениям, ведущим незаконную, либо не соответствующую требованиям ФСБ и ФСТЭК обработку персональных данных.
В рамках реализации требований данного закона, организациям в срок до 1 января 2010 года необходимо привести информационные системы в соответствие с законодательством. В большинстве случаев, выполнение требований закона невозможно без участия сторонних организаций, обладающими необходимыми лицензиями.
Комментариев нет:
Отправить комментарий