Решением ФСТЭК России от 16 ноября 2009 г была снята пометка «для служебного пользования» с 2-х оставшихся методических документов и теперь все «четверокнижие» размещено на официальном сайте ведомства в разделе Специальные нормативные документы
С учетом того, что Методические документы ФСБ РФ уже давно размещены в открытом доступе на сайте Роскомнадзора, теперь вся нормативно-методическая база, регламентирующая защиту персональных данных, доступна для всех желающих.
Таким образом, мы наблюдаем позитивную тенденцию к открытости "закрытых" органов. Теперь операторам персональных данных будет легче разобраться в хитросплетениях законодательства по ПДн или хотя бы убедиться в том, что без специалистов им не обойтись.
понедельник, 30 ноября 2009 г.
пятница, 13 ноября 2009 г.
А может все-таки перенесут сроки...
Споры вокруг закона о персональных данных разгораются с новой силой.
6 ноября у заместителя Министра связи и массовых коммуникаций Российской Федерации Алексея Солдатова состоялось совещание по вопросам гармонизации законодательства в сфере персональных данных. Обсуждались предложения в проект федерального закона «О внесении изменений в Федеральный закон «О персональных данных», в том числе о переносе срока реализации настоящего Закона, который истекает 01.01.2010 года .
Мнения разделились: одни за перенос сроков реализации закона, другие против. Несмотря на все эти коллизии ясно то, что если сроки перенесут на 2 года (есть такие предложения), то операторы ПДн вздохнут с облегчением и вспомнят о проблеме ПДн только перед 01.01.2012 года. Т.е. по сути это не решит проблему, а лишь отсрочит ее на некоторое время. Поэтому позволю себе согласиться с представителями Роскомнадзора, которые остаются на позиции противников переноса сроков.
6 ноября у заместителя Министра связи и массовых коммуникаций Российской Федерации Алексея Солдатова состоялось совещание по вопросам гармонизации законодательства в сфере персональных данных. Обсуждались предложения в проект федерального закона «О внесении изменений в Федеральный закон «О персональных данных», в том числе о переносе срока реализации настоящего Закона, который истекает 01.01.2010 года .
Мнения разделились: одни за перенос сроков реализации закона, другие против. Несмотря на все эти коллизии ясно то, что если сроки перенесут на 2 года (есть такие предложения), то операторы ПДн вздохнут с облегчением и вспомнят о проблеме ПДн только перед 01.01.2012 года. Т.е. по сути это не решит проблему, а лишь отсрочит ее на некоторое время. Поэтому позволю себе согласиться с представителями Роскомнадзора, которые остаются на позиции противников переноса сроков.
О переносе сроков на 1 год
20 октября 2009 года в Государственной Думе РФ состоялись Парламентские слушания по «Актуальным вопросам развития и применения законодательства о защите прав граждан при обработке персональных данных».
Участники представили конкретные предложения по гармонизации нормативно-правовой базы по защите персональных данных, в том числе о необходимости создания отраслевых стандартов. Наиболее острые обсуждения вызвал вопрос, касающийся переноса срока, к которому все информационные системы персональных данных должны быть приведены в соответствие с требованиями Федерального закона № 152-ФЗ «О персональных данных». Участники слушаний предлагали перенести установленный срок – 01.01.2010 г. на один год, мотивируя это решение неготовностью государственных органов к исполнению закона, необходимостью гармонизации нормативно-правовой базы и др.
Однако, Заместитель руководителя Роскомнадзора Роман Шередин, выступая перед участниками слушаний, подчеркнул, что не считает перенос срока необходимой мерой, которая поможет решить стоящие сегодня перед операторами персональных данных проблемы. (Подробнее о позиции Роскомнадзора на официальном сайте ведомства)
Одним словом, слушания оставили неоднозначное впечатление: причины переноса сроков существуют, но переносить "нельзя"))) Чем закончится эта кампания по переносу сроков пока неизвестно и что делать операторам персональных данных тоже неясно: если сроки не перенесут, придется нести отвественность за невыполнения требований; если выполнять существующие требования, вдруг поменяется нормативная база в сторону упрощения мероприятий по защите ПДн (такие предложения звучали на парламентских слушаниях), тогда окажутся напрасными излишние расходы.
Участники представили конкретные предложения по гармонизации нормативно-правовой базы по защите персональных данных, в том числе о необходимости создания отраслевых стандартов. Наиболее острые обсуждения вызвал вопрос, касающийся переноса срока, к которому все информационные системы персональных данных должны быть приведены в соответствие с требованиями Федерального закона № 152-ФЗ «О персональных данных». Участники слушаний предлагали перенести установленный срок – 01.01.2010 г. на один год, мотивируя это решение неготовностью государственных органов к исполнению закона, необходимостью гармонизации нормативно-правовой базы и др.
Однако, Заместитель руководителя Роскомнадзора Роман Шередин, выступая перед участниками слушаний, подчеркнул, что не считает перенос срока необходимой мерой, которая поможет решить стоящие сегодня перед операторами персональных данных проблемы. (Подробнее о позиции Роскомнадзора на официальном сайте ведомства)
Одним словом, слушания оставили неоднозначное впечатление: причины переноса сроков существуют, но переносить "нельзя"))) Чем закончится эта кампания по переносу сроков пока неизвестно и что делать операторам персональных данных тоже неясно: если сроки не перенесут, придется нести отвественность за невыполнения требований; если выполнять существующие требования, вдруг поменяется нормативная база в сторону упрощения мероприятий по защите ПДн (такие предложения звучали на парламентских слушаниях), тогда окажутся напрасными излишние расходы.
Куда обращаться при нарушении прав.
Недавно открытый портал о персональных данных от Роскомнадзора динамично развивается, появляется много интересной информации. На мой взгляд, особого внимания заслуживают новости и рубрика Ваши вопросы.
Вот например,
Вопрос: Если при обработке персональных данных организацией нарушаются мои права, куда я могу обратиться за защитой?
Ответ: Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефона указаны на официальном сайте Роскомнадзора в информационно-телекоммуникационной сети «Интернет» www.rsoc.ru.
Для гражданина в такой ситуации не нужно гадать куда обращаться, все предельно ясно. Надеюсь и в дальнейшем рубрика будет пополняться новыми вопросами/ответами и каждый участник оперативно найдет ответ на волнующий его вопрос.
Вот например,
Вопрос: Если при обработке персональных данных организацией нарушаются мои права, куда я могу обратиться за защитой?
Ответ: Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефона указаны на официальном сайте Роскомнадзора в информационно-телекоммуникационной сети «Интернет» www.rsoc.ru.
Для гражданина в такой ситуации не нужно гадать куда обращаться, все предельно ясно. Надеюсь и в дальнейшем рубрика будет пополняться новыми вопросами/ответами и каждый участник оперативно найдет ответ на волнующий его вопрос.
четверг, 15 октября 2009 г.
Методички ФСТЭК в открытом доступе
На сайте ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК) в разделе «Специальные нормативные документы» находятся два из четырех нормативно-методических документов в области персональных данных:
· Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
· Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Надо полагать, что факт появления их в открытом доступе говорит о том, что это финальная версия документов и все операторы ПДн могут их использовать в процессе защиты персональных данных.
Два оставшихся документа: "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных";
"Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных", насколько я понял, остаются в режиме ДСП и получить их можно у Регулятора по официальному запросу.
Не могу найти объяснения такому подходу, возможно есть какие-то веские обоснования, но на мой взгляд, было вполне логичным все 4 методических документа выложить на сайт. В условиях временных ограничений (2,5 месяца осталось всего), да и лицензиатов, возможно на всех не хватит, операторы ПДн самостоятельно могли бы проводить работы по защите ПДн или хотя бы провести предварительную оценку своих ИСПДн в соответствии с предъявляемыми требованиями.
· Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
· Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Надо полагать, что факт появления их в открытом доступе говорит о том, что это финальная версия документов и все операторы ПДн могут их использовать в процессе защиты персональных данных.
Два оставшихся документа: "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных";
"Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных", насколько я понял, остаются в режиме ДСП и получить их можно у Регулятора по официальному запросу.
Не могу найти объяснения такому подходу, возможно есть какие-то веские обоснования, но на мой взгляд, было вполне логичным все 4 методических документа выложить на сайт. В условиях временных ограничений (2,5 месяца осталось всего), да и лицензиатов, возможно на всех не хватит, операторы ПДн самостоятельно могли бы проводить работы по защите ПДн или хотя бы провести предварительную оценку своих ИСПДн в соответствии с предъявляемыми требованиями.
среда, 14 октября 2009 г.
Защита ПДн в РФ и Великобритании
Как-то летом нашел статью о том , как Управление по финансовым услугам Британии оштрафовало банкиров почти на 5 млн. долларов за нарушения в сфере защиты конфиденциальной информации клиентов. Были утрачены данные клиентов и этого оказалось достаточно для наказания, при этом жалоб на кражу средств со счетов или других инцидентов от клиентов не поступало.
Данная статья является ярким примером того, насколько отличаются подходы защиты ПДн в России и Великобритании. Технические тонкости законодательства и методики защиты ПДн рассматривать не будем и перейдем к принципиальным моментам.
Россия. Закон о персональных данных в России обязывает обеспечить защиту ПДн граждан всех операторов ПДн, независимо от их размера и формы собственности. Т.е. законодательство РФ направлено на предотвращение утечек ПДн и минимизации злоупотреблений с такими данными.
Великобритания. Практика защиты ПДн в Великобритании (аналогично в США) лишь рекомендует коммерческим структурам обеспечить защиту ПДн и до момента утечки данных проверок на соответствие адекватности защиты ПДн не проводится. После наступления инцидента нарушители подвергаются строгому наказанию, но для субъекта ПДн эти действия оказываются «несколько» запоздалыми, так как его права уже нарушены. Получается парадоксальная ситуация, когда суровость ответственности законодательств США и Великобритании нивелируется необязательностью выполнения мер защиты.
Мое мнение по данному вопросу таково: несмотря на некоторые недостатки в российском законодательстве о персональных данных, которые я надеюсь будут исправлены в процессе практического применения норм закона, выбран наиболее оптимальный подход защиты ПДн и не все модели развитых зарубежных стран подходят для копирования и применения в нашей стране.
Полный текст статьи
Данная статья является ярким примером того, насколько отличаются подходы защиты ПДн в России и Великобритании. Технические тонкости законодательства и методики защиты ПДн рассматривать не будем и перейдем к принципиальным моментам.
Россия. Закон о персональных данных в России обязывает обеспечить защиту ПДн граждан всех операторов ПДн, независимо от их размера и формы собственности. Т.е. законодательство РФ направлено на предотвращение утечек ПДн и минимизации злоупотреблений с такими данными.
Великобритания. Практика защиты ПДн в Великобритании (аналогично в США) лишь рекомендует коммерческим структурам обеспечить защиту ПДн и до момента утечки данных проверок на соответствие адекватности защиты ПДн не проводится. После наступления инцидента нарушители подвергаются строгому наказанию, но для субъекта ПДн эти действия оказываются «несколько» запоздалыми, так как его права уже нарушены. Получается парадоксальная ситуация, когда суровость ответственности законодательств США и Великобритании нивелируется необязательностью выполнения мер защиты.
Мое мнение по данному вопросу таково: несмотря на некоторые недостатки в российском законодательстве о персональных данных, которые я надеюсь будут исправлены в процессе практического применения норм закона, выбран наиболее оптимальный подход защиты ПДн и не все модели развитых зарубежных стран подходят для копирования и применения в нашей стране.
Полный текст статьи
четверг, 8 октября 2009 г.
Административный регламент проверок (проект)
Прошу прощения за небольшой перерыв, но ежегодный отпуск - это непременный атрибут деятельности любого человека))
За этот период в сфере защиты ПДн кардинальных изменений не произошло, но есть некоторые любопытные новости. Роскомнадзор открыл портал о персональных данных, который предназначен для размещения информации по всему спектру деятельности Роскомнадзора в сфере защиты прав субъектов персональных данных - новости, аналитические материалы, нормативно-распорядительные документы, рекомендации для операторов персональных данных и т.д.
Портал призван оказывать помощь как операторам персональных данных, так и гражданам: на портале можно задать вопрос, сформировать уведомление о намерении осуществлять обработку персональных данных в электронном виде, направить официальное обращение в Уполномоченный орган в электронном виде (правда у меня пока это не получилось))) и получить другую полезную информацию.
Меня же привлек "Проект Административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных", в котором подробно расписано как будут осуществляться проверки операторов ПДн, основания проверок, список документов, запрашиваемых при проверке, полномочия проверяющих органов и многое другое.
На сегодняшний день данный документ имеет статус "проекта", но есть все основания полагать, что его утвердят до 01.01.2010 года. Поэтому операторам персональных данных полезно его изучить, чтобы лучше понимать о серьезности намерений государственных органов по наведению порядка в сфере защиты персональных данных граждан.
За этот период в сфере защиты ПДн кардинальных изменений не произошло, но есть некоторые любопытные новости. Роскомнадзор открыл портал о персональных данных, который предназначен для размещения информации по всему спектру деятельности Роскомнадзора в сфере защиты прав субъектов персональных данных - новости, аналитические материалы, нормативно-распорядительные документы, рекомендации для операторов персональных данных и т.д.
Портал призван оказывать помощь как операторам персональных данных, так и гражданам: на портале можно задать вопрос, сформировать уведомление о намерении осуществлять обработку персональных данных в электронном виде, направить официальное обращение в Уполномоченный орган в электронном виде (правда у меня пока это не получилось))) и получить другую полезную информацию.
Меня же привлек "Проект Административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных", в котором подробно расписано как будут осуществляться проверки операторов ПДн, основания проверок, список документов, запрашиваемых при проверке, полномочия проверяющих органов и многое другое.
На сегодняшний день данный документ имеет статус "проекта", но есть все основания полагать, что его утвердят до 01.01.2010 года. Поэтому операторам персональных данных полезно его изучить, чтобы лучше понимать о серьезности намерений государственных органов по наведению порядка в сфере защиты персональных данных граждан.
Подписаться на:
Сообщения (Atom)