Защиту персональных данных и обновления в законопроектах. Обсудил SPb CIO Club

Вчера, 13 апреля 2010 года, состоялся совместный семинар Санкт-Петербургского клуба ИТ-директоров SPb CIO Club и Комитета по информационным технологиям торгово-промышленной палаты Петербурга. Темой мероприятия стал закон о защите персональных данных, а точнее, внесённые за последние полгода изменения в нормативных документах, регулирующих данные вопросы, основные технические требования, в том числе к должностным инструкциям сотрудников, а также определение класса информационной системы компании.

Практические рекомендации по организации защиты персональных данных предоставили член правления российского союза ИТ-директоров (СоДИТ) и член консультативного Совета при Роскомнадзоре, директор по ИТ ГК «Интарсия» Юрий Шойдин и ведущий специалист по информационной безопасности ООО «СБС-инфо», кандидат экономических наук Сергей Опарин. Так, по словам г-на Шойдина, обновлённый регламент, выпущенный Роскомнадзором, отличается от предыдущего в первую очередь тем, что содержит расширенный закрытый перечень оснований для плановой и внеплановой проверок. А в приказе от ФСТЭК решением от 5 марта отменены два пункта, касаемые рекомендаций по обеспечению безопасности ПД и проведению мероприятий по их организации и техническому обеспечению. Кроме того, указом от ФСТЭК отменена обязательная аттестация ИСПД, а также обозначено, что средства защиты могут проходить не только обязательную сертификацию, но также применять добровольную сертификацию и декларацию соответствия. Юрий Шойдин напомнил, что для большинства организаций областями хранения и обработки персональных данных являются система бухгалтерского учёта, система расчёта заработной платы, а также система контроля доступа и система учёта кадровой информации.

 

Директор по ИТ ГК «Интарсия» и член консультативного Совета
при Роскомнадзоре Юрий Шойдин

Рассказывая о приказах, которые будут необходимы руководителю организации, Сергей Опарин заметил, что, как правило, все приказы, касающиеся защиты персональных данных, разрабатываются лично или под руководством ответственного за обеспечение безопасности персональных данных и доводятся до исполнителей «под роспись». «Изменения в должностных инструкциях разрабатываются специалистом по кадрам и согласовываются с ответственным за обеспечение безопасности ПД. После утверждения доводятся до работников под роспись», – заявил выступающий.


Ведущий специалист по информационной безопасности
ООО «СБС-инфо» Сергей Опарин

Также г-н Опарин подчеркнул разницу между видами ответственности, которая наступает при нарушениях со стороны того, кто отвечает за обеспечение безопасности персональных данных. Так, за допуск к обработке персональных данных работников, не соответствующих требованиям инструкции, наступает административная ответственность, а вот за нарушение конфиденциальности персональных данных, вызванное несоблюдением должностных обязанностей, – уголовная. «Инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные, должна разрабатываться лично или под руководством ответственного за обеспечение безопасности персональных данных и доводиться до исполнителей «под роспись». Она может быть оформлена в виде отдельного документа или как раздел в «Политике информационной безопасности». При этом она должна включать в себя три основных раздела: это назначение и область действия, основные требования и ответственность», – подчеркнул Сергей Опарин.


Специалист по сертификации систем управления ООО «Ти эМ эЛ»
Дмитрий Савченко выступил с докладом на тему: «Оценка соответствия
ИСПД относительно стандарта ISO/IEC 27001:2005»

Об оценке соответствия ИСПД относительно стандарта ISO/IEC 27001:2005 рассказал специалист по сертификации систем управления ООО «Ти эМ эЛ» Дмитрий Савченко. Раскрывая причины, по которым столь широко распространённая модель СМК на базе требований ISO 9001 не смогла решить существующие проблемы в области ИБ, г-н Савченко упомянул прежде всего то, что перед данной системой не ставились такие задачи. В связи с этим последовало отсутствие необходимых навыков и отсутствие глубокого понимания первым лицом организации возможностей управленческих технологий в сфере ИБ. «Система управления информационной безопасностью (СУИБ) является частью общей системы управления предприятием. Она основана на риск-ориентированном подходе и служит для обеспечения требуемого уровня информационной безопасности», – пояснил г-н Опарин.


После того как все доклады были зачитаны, участники семинара
смогли обсудить возникшие вопросы в неформальной обстановке

Между тем, по мнению некоторых участников семинара, данный закон мало приближен к реальности, он не учитывает бюджета компании, формы собственности и т. д. Кроме того, для его обеспечения требуется создание специального отдела и назначение ответственного за реализацию всех требований – а далеко не у каждой организации имеется такая возможность. Отвечая на подобные жалобы и претензии, выступающие поясняли, что затраты на обеспечение закона о защите персональных данных далеко не так велики, как представляется. Кроме того, по словам г-на Шойдина, данное законодательство создано не для отчётности, а в связи с реальными потребностями как государственной структуры и всевозможных организаций, так и частных лиц: всех, кто так или иначе имеет отношение к персональным данным и их распространению.

Автор: Ирина Медведева.

Тематики: Интеграция, Регулирование, Безопасность

Ключевые слова: информационная безопасность, SPb CIO Club, Роскомнадзор, персональные данные