27 июля 2011 г. вступил в силу Федеральный закон от 25 июля 2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».
Вопреки ожиданиям, вздохнуть с облегчением не удалось.
Так, например, вместо предлагаемой в проекте формулировки (ст.19): «При обработке персональных данных на основе согласия перечень мер по обеспечению безопасности персональных данных при их обработке определяется соглашением оператора и субъекта персональных данных», получили достаточно развернутый перечень необходимых мер по защите ПДн, включающий в том числе применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных…
На смену классам ИСПДн должны прийти уровни защищенности ПДн, определяемые Правительством. Органы госвласти, государственных внебюджетных фондов, Банк России, иные госорганы вправе определять актуальные угрозы безопасности ПДн, а ассоциации, союзы и иные объединения операторов вправе определить дополнительные угрозы безопасности ПДн. При этом в отличие от органов госвласти и иже с ними порядок согласования с ФСБ и ФСТЭК данных документов для остальных устанавливается Правительством.
(До декабря 2011 г. никакие нормативные документы в поддержку закона не появились. Есть занятие поважнее: страна готовится к выборам…)
Тем временем в конце сентября – начале октября одна за другой в Москве проходят две выставки по информационной безопасности: Инфосекьюрити и Инфобезопасность.
Выставочная программа не обошла стороной и вопросы защиты ПДн. На Инфосекьюрити демонстрировалась установка и настройка для защиты ПДн сертифицированной версии ОС Windows 7, поднимались вопросы действий при проведении проверок регуляторами.
Инфобезопасность практически совпала с появлением сайта rusleaks с ПДн россиян. В открытом (бесплатном) доступе данные предоставлялись недолго, по словам создателей, плату за пользование стали брать из-за опасения, что на поддержание проекта не хватит денег. При этом авторы считают, что деятельность их проекта «не нарушает закон № 152-ФЗ «О персональных данных», поскольку, во-первых, этот закон действует только на территории РФ, а наши серверы и все участники проекта находятся за пределами России и не являются гражданами РФ, а во-вторых, мы только предоставляем возможность поиска по находящимся в открытом доступе в интернете базам. При этом мы готовы оказывать необходимое содействие органам власти, если они будут подходить к вопросу адекватно. Все, что мы сделали - это создали удобную поисковую систему, которая индексирует базы, уже давно доступные в сети. Поэтому мы считаем, что виновны не более чем Google, который индексирует сайты с запрещенным контентом.»…
Сама же выставка ознаменовалась круглым столом (с участием организаций успешно прошедших проверку регуляторов и небезызвестного Ю. Травкина), прошедшем при участии многочисленной аудитории.
В текущих условиях большинство операторов озабочено поиском путей благоприятного исхода общения с регуляторами при проводимых ими проверках. Для этого необходимо перенимать опыт у «проверенных» и погружаться в дебри законодательства…
Вопреки ожиданиям, вздохнуть с облегчением не удалось.
Так, например, вместо предлагаемой в проекте формулировки (ст.19): «При обработке персональных данных на основе согласия перечень мер по обеспечению безопасности персональных данных при их обработке определяется соглашением оператора и субъекта персональных данных», получили достаточно развернутый перечень необходимых мер по защите ПДн, включающий в том числе применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных…
На смену классам ИСПДн должны прийти уровни защищенности ПДн, определяемые Правительством. Органы госвласти, государственных внебюджетных фондов, Банк России, иные госорганы вправе определять актуальные угрозы безопасности ПДн, а ассоциации, союзы и иные объединения операторов вправе определить дополнительные угрозы безопасности ПДн. При этом в отличие от органов госвласти и иже с ними порядок согласования с ФСБ и ФСТЭК данных документов для остальных устанавливается Правительством.
(До декабря 2011 г. никакие нормативные документы в поддержку закона не появились. Есть занятие поважнее: страна готовится к выборам…)
Тем временем в конце сентября – начале октября одна за другой в Москве проходят две выставки по информационной безопасности: Инфосекьюрити и Инфобезопасность.
Выставочная программа не обошла стороной и вопросы защиты ПДн. На Инфосекьюрити демонстрировалась установка и настройка для защиты ПДн сертифицированной версии ОС Windows 7, поднимались вопросы действий при проведении проверок регуляторами.
Инфобезопасность практически совпала с появлением сайта rusleaks с ПДн россиян. В открытом (бесплатном) доступе данные предоставлялись недолго, по словам создателей, плату за пользование стали брать из-за опасения, что на поддержание проекта не хватит денег. При этом авторы считают, что деятельность их проекта «не нарушает закон № 152-ФЗ «О персональных данных», поскольку, во-первых, этот закон действует только на территории РФ, а наши серверы и все участники проекта находятся за пределами России и не являются гражданами РФ, а во-вторых, мы только предоставляем возможность поиска по находящимся в открытом доступе в интернете базам. При этом мы готовы оказывать необходимое содействие органам власти, если они будут подходить к вопросу адекватно. Все, что мы сделали - это создали удобную поисковую систему, которая индексирует базы, уже давно доступные в сети. Поэтому мы считаем, что виновны не более чем Google, который индексирует сайты с запрещенным контентом.»…
Сама же выставка ознаменовалась круглым столом (с участием организаций успешно прошедших проверку регуляторов и небезызвестного Ю. Травкина), прошедшем при участии многочисленной аудитории.
В текущих условиях большинство операторов озабочено поиском путей благоприятного исхода общения с регуляторами при проводимых ими проверках. Для этого необходимо перенимать опыт у «проверенных» и погружаться в дебри законодательства…
Комментариев нет:
Отправить комментарий