Защита Персональных Данных в Информационных Системах


Апрель 24, 2016 – 08:01
Постановка задачи

Согласно статье 25 закона «О персональных данных», информационные системы предприятий и организаций должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 г. С одной стороны, времени еще вполне достаточно, но, с другой, перечень необходимых действий не так уж мал и требует организационных и финансовых затрат.

Федеральный закон «О персональных данных» (№152-ФЗ), подписанный Президентом РФ в июле 2006 г., вступил в силу в январе 2007 г., однако основные нормативные документы, детализирующие его применение, и орган, контролирующий выполнение закона, появились только в 2007-8 гг. Кроме того, в 2008 г. в Федеральной службе по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор) было создано Управление по защите прав субъектов персональных данных в Российской Федерации. В его состав включено три отдела: отдел организации ведения реестра операторов, осуществляющих обработку персональных данных (ПД), отдел организации контроля и надзора за соответствием обработки ПД и отдел анализа и методологического обеспечения в области ПД. Дополнительно организованы специальные отделы в 78 территориальных органах Россвязькомнадзора.

Рисунок 2. Кто имеет доступ к массивам ПД?Ранее принятые законы «Об информации, информационных технологиях и защите информации» (№149-ФЗ от 27 июля 2006 г.), «О коммерческой тайне» (№98-ФЗ от 29 июля 2004 г.), а также Постановление Правительства РФ «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (№781 от 17 ноября 2007 г.) и совместный Приказ ФСТЭК, ФСБ и Мининформсвязи «Об утверждении порядка проведения классификации информационных систем персональных данных» (№55/86/20 от ) образуют нормативную базу для построения систем защиты ПД.

Различным аспектам защиты информационных систем персональных данных (ИСПДн) были посвящены семинары и круглые столы на проходившей в октябре в Москве выставке «Инфосекьюрити-2008», по материалам которых и написана в основном настоящая статья.

ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ И ЗАДАЧИ

Определение персональных данных дано в Законе №152-ФЗ: «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация». Кроме этого, введено определение оператора персональных данных: «государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели

Рисунок 1. Количество записей ПД в российских компаниях. Рисунок 3. Осведомленность специалистов о ФЗ-№152 «О персональных данных».
Source: www.osp.ru
Похожие публикации