На сайте ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК) в разделе «Специальные нормативные документы» находятся два из четырех нормативно-методических документов в области персональных данных:
· Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
· Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Надо полагать, что факт появления их в открытом доступе говорит о том, что это финальная версия документов и все операторы ПДн могут их использовать в процессе защиты персональных данных.
Два оставшихся документа: "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных";
"Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных", насколько я понял, остаются в режиме ДСП и получить их можно у Регулятора по официальному запросу.
Не могу найти объяснения такому подходу, возможно есть какие-то веские обоснования, но на мой взгляд, было вполне логичным все 4 методических документа выложить на сайт. В условиях временных ограничений (2,5 месяца осталось всего), да и лицензиатов, возможно на всех не хватит, операторы ПДн самостоятельно могли бы проводить работы по защите ПДн или хотя бы провести предварительную оценку своих ИСПДн в соответствии с предъявляемыми требованиями.
четверг, 15 октября 2009 г.
среда, 14 октября 2009 г.
Защита ПДн в РФ и Великобритании
Как-то летом нашел статью о том , как Управление по финансовым услугам Британии оштрафовало банкиров почти на 5 млн. долларов за нарушения в сфере защиты конфиденциальной информации клиентов. Были утрачены данные клиентов и этого оказалось достаточно для наказания, при этом жалоб на кражу средств со счетов или других инцидентов от клиентов не поступало.
Данная статья является ярким примером того, насколько отличаются подходы защиты ПДн в России и Великобритании. Технические тонкости законодательства и методики защиты ПДн рассматривать не будем и перейдем к принципиальным моментам.
Россия. Закон о персональных данных в России обязывает обеспечить защиту ПДн граждан всех операторов ПДн, независимо от их размера и формы собственности. Т.е. законодательство РФ направлено на предотвращение утечек ПДн и минимизации злоупотреблений с такими данными.
Великобритания. Практика защиты ПДн в Великобритании (аналогично в США) лишь рекомендует коммерческим структурам обеспечить защиту ПДн и до момента утечки данных проверок на соответствие адекватности защиты ПДн не проводится. После наступления инцидента нарушители подвергаются строгому наказанию, но для субъекта ПДн эти действия оказываются «несколько» запоздалыми, так как его права уже нарушены. Получается парадоксальная ситуация, когда суровость ответственности законодательств США и Великобритании нивелируется необязательностью выполнения мер защиты.
Мое мнение по данному вопросу таково: несмотря на некоторые недостатки в российском законодательстве о персональных данных, которые я надеюсь будут исправлены в процессе практического применения норм закона, выбран наиболее оптимальный подход защиты ПДн и не все модели развитых зарубежных стран подходят для копирования и применения в нашей стране.
Полный текст статьи
Данная статья является ярким примером того, насколько отличаются подходы защиты ПДн в России и Великобритании. Технические тонкости законодательства и методики защиты ПДн рассматривать не будем и перейдем к принципиальным моментам.
Россия. Закон о персональных данных в России обязывает обеспечить защиту ПДн граждан всех операторов ПДн, независимо от их размера и формы собственности. Т.е. законодательство РФ направлено на предотвращение утечек ПДн и минимизации злоупотреблений с такими данными.
Великобритания. Практика защиты ПДн в Великобритании (аналогично в США) лишь рекомендует коммерческим структурам обеспечить защиту ПДн и до момента утечки данных проверок на соответствие адекватности защиты ПДн не проводится. После наступления инцидента нарушители подвергаются строгому наказанию, но для субъекта ПДн эти действия оказываются «несколько» запоздалыми, так как его права уже нарушены. Получается парадоксальная ситуация, когда суровость ответственности законодательств США и Великобритании нивелируется необязательностью выполнения мер защиты.
Мое мнение по данному вопросу таково: несмотря на некоторые недостатки в российском законодательстве о персональных данных, которые я надеюсь будут исправлены в процессе практического применения норм закона, выбран наиболее оптимальный подход защиты ПДн и не все модели развитых зарубежных стран подходят для копирования и применения в нашей стране.
Полный текст статьи
четверг, 8 октября 2009 г.
Административный регламент проверок (проект)
Прошу прощения за небольшой перерыв, но ежегодный отпуск - это непременный атрибут деятельности любого человека))
За этот период в сфере защиты ПДн кардинальных изменений не произошло, но есть некоторые любопытные новости. Роскомнадзор открыл портал о персональных данных, который предназначен для размещения информации по всему спектру деятельности Роскомнадзора в сфере защиты прав субъектов персональных данных - новости, аналитические материалы, нормативно-распорядительные документы, рекомендации для операторов персональных данных и т.д.
Портал призван оказывать помощь как операторам персональных данных, так и гражданам: на портале можно задать вопрос, сформировать уведомление о намерении осуществлять обработку персональных данных в электронном виде, направить официальное обращение в Уполномоченный орган в электронном виде (правда у меня пока это не получилось))) и получить другую полезную информацию.
Меня же привлек "Проект Административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных", в котором подробно расписано как будут осуществляться проверки операторов ПДн, основания проверок, список документов, запрашиваемых при проверке, полномочия проверяющих органов и многое другое.
На сегодняшний день данный документ имеет статус "проекта", но есть все основания полагать, что его утвердят до 01.01.2010 года. Поэтому операторам персональных данных полезно его изучить, чтобы лучше понимать о серьезности намерений государственных органов по наведению порядка в сфере защиты персональных данных граждан.
За этот период в сфере защиты ПДн кардинальных изменений не произошло, но есть некоторые любопытные новости. Роскомнадзор открыл портал о персональных данных, который предназначен для размещения информации по всему спектру деятельности Роскомнадзора в сфере защиты прав субъектов персональных данных - новости, аналитические материалы, нормативно-распорядительные документы, рекомендации для операторов персональных данных и т.д.
Портал призван оказывать помощь как операторам персональных данных, так и гражданам: на портале можно задать вопрос, сформировать уведомление о намерении осуществлять обработку персональных данных в электронном виде, направить официальное обращение в Уполномоченный орган в электронном виде (правда у меня пока это не получилось))) и получить другую полезную информацию.
Меня же привлек "Проект Административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных", в котором подробно расписано как будут осуществляться проверки операторов ПДн, основания проверок, список документов, запрашиваемых при проверке, полномочия проверяющих органов и многое другое.
На сегодняшний день данный документ имеет статус "проекта", но есть все основания полагать, что его утвердят до 01.01.2010 года. Поэтому операторам персональных данных полезно его изучить, чтобы лучше понимать о серьезности намерений государственных органов по наведению порядка в сфере защиты персональных данных граждан.
Подписаться на:
Сообщения (Atom)