Что делать с персональными данными? Придется защищать!

27 июля 2006 года вышел Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ О персональных данных, который регулирует отношения, связанные с обработкой персональных данных государственными и муниципальными органами власти, юридическими и физическими лицами, с использованием средств автоматизации и без использования таковых. Цель такого регулирования - обеспечение прав и свобод человека при обработке его персональных данных.

Закон вводит понятие «Оператор». Под него фактически подпадает любое юридическое, а в некоторых случаях и физическое лицо, которое хранит и обрабатывает персональные данные других физических лиц. Ведь на каждом предприятии ведется, как минимум, кадровый учет (кадровая документация содержит персональные данные), ведутся так называемые клиентские базы, базы данных контрагентов и тому подобные.

Согласно закону, при обработке персональных данных именно Оператор обязан принимать все необходимые организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

У каждого оператора сразу же возникает вопрос: какие именно меры следует принимать в его конкретном случае? Какие из них будут достаточными?

Закон дает такой ответ на эти вопросы: «Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных...»

Чтобы конкретизировать требования к обеспечению безопасности персональных данных Правительство РФ подготовило Постановление от 17 ноября 2007 г. №781 Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, а также Постановление от 15 сентября 2008 г. №687 Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средство автоматизации.

В свою очередь требования к методам и способам защиты персональных данных в информационных системах персональных данных, согласно Постановлению №781, должны устанавливать ФСТЭК России и ФСБ России. Для этого они разрабатывают собственные нормативные документы, в том числе и для служебного пользования, которые регламентируют использование тех или иных систем безопасности в зависимости от класса информационной системы. Причем для отдельных классов предусмотрена обязательная сертификация и аттестация информационных систем, а условием эксплуатации является наличие лицензии ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации. Оператору придется самостоятельно определить класс собственной информационной системы персональных данных (ИСПД).

Таким образом, деятельность Оператора по обеспечению безопасности персональных данных при их обработке видится довольно сложной, объемной и затратной. Большинству Операторов с ней справиться самостоятельно не под силу, в первую очередь, из-за отсутствия квалифицированных специалистов, необходимых знаний и опыта. Ситуация усугубляется тем, что информационные системы миллионов российских Операторов должны быть приведены в соответствие с совершенно новыми требованиями уже к концу этого года, а контролирующие организации наделены серьезными полномочиями.

Так с чего же начать?

Настоящий семинар поможет его участникам определиться с тем, что нужно делать прямо сейчас. Даст надежное знание законодательства в области защиты персональных данных, четкое понимание собственных обязанностей Оператора при обработке персональных данных, меры ответственности за соблюдение прав  субъекта персональных данных. Умение самостоятельно разработать нормативную документацию по защите персональных данных в своей компании, провести мероприятия по классификации ИСПД, подготовить мероприятия по защите ПД, подобрать технические средства защиты информации.