18 ноября, в рамках SFITEX-2009 прошла конференция «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных».
Конференция «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» проходила в трех секциях, однако наибольший интерес вызвала секция «Порядок организации защиты персональных данных, организационно-технические мероприятия». Повышенный интерес к этой части конференции связан с федеральным законом № 152 «О персональных данных». Данный закон был принят 27 июля 2006 года и вступил в законную силу 26 января 2007 года. При этом, операторы персональных данных должны привести свои системы обработки персональных данных в соответствие с законом до 1 января 2010 года.
В соответствии с законом № 152 «О персональных данных», существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные. Такие организации и физические лица относятся к операторам персональных данных. Согласно закону, а также ряду подзаконных актов и руководящих документов регулирующих органов (Федеральная служба по техническому и экспортному контролю (ФСТЭК России), Федеральная служба безопасности России (ФСБ) и Роскомнадзор), операторы должны выполнить ряд требований по защите персональных данных, обрабатываемых в информационных системах компании. В частности, закон (ФЗ 152 Статья 22) обязывает операторов персональных данных подавать уведомление в Роскомнадзор, который ведет реестр операторов персональных данных.
В частности, в рамках вышеуказанной конференции, с докладом на тему «Методика и практика проведения проверок Роскомнадзором при выполнении функций контроля по защите прав субъектов персональных данных» выступил заместитель руководителя Управления Роскомнадзора по Санкт-Петербургу и Ленинградской области Герман Азерский. В своем выступлении спикер в частности рассказал о тех функциях, которые возложены на Роскомнадзор и методах проведения проверок: «Если говорить о законе №152, то наша организация отвечает прежде всего за методическую организационную подготовку процесса связанного с обработкой и защитой персональных данных. Что касается проверяемых организаций, то в сферу нашего влияния входят все организации (государственные, муниципальные, юридические лица, физические лица). При этом, согласно федеральному закону №294 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного и муниципального контроля» возможности и проверяющих и проверяемых строго регламентированы. В законе реализовано несколько принципов, на основании которых существует равенство прав проверяющих и проверяемых».
Рассказал Герман Азерский и о наиболее часто встречающихся нарушениях в части работы с персональными данными с которыми сталкивается Роскомнадзор: «Если нарушение выявлено в ходе проверки, а в ходе проверок нарушения выявляются в 95% случаев, то комиссия формулирует это нарушение, дает ссылку на закон и до конца проверки нарушение может быть исправлено. В таком случае оно не включается в акт и нарушением не считается. Если нарушение сохранилось, то по результатам проверки выдается предписание и это предписание является одним из поводов для внеплановой проверки.
Мы постарались выявить по анализу наших проверок некоторые типовые нарушения, существующие в большинстве организаций. Первое такое нарушение, это хранение персональных данных в форме, которая не позволяет определить субъект персональных данных. Если говорить проще, то это случаи, когда весь массив информации перемешан. Это не грубое нарушение, но известно что к базам персональных данных есть требования и их нельзя смешивать с другими данными. Говоря о других нарушениях, довольно часто возникают случаи, когда персональные данные передаются для какой-либо работы с ними третьему лицу. В этом случае необходимо испросить у субъекта персональных данных право на передачу данных третьему лицу. При этом, оператор персональных данных также обязан потребовать у третьего лица принять соответствующие меры по обеспечению конфиденциальности информации. В противном случае, отвечать за нарушения связанные с кражей, передачей и т.д. этих персональных данных будет оператор персональных данных. Кроме того, оператор связи должен получать письменное согласие субъекта персональных данных на обработку своих персональных данных. Также как и уведомлять субъект персональных данных об уничтожении базы где содержатся его персональные данные в случае прекращения ее обработки.
Что касается трансграничной передачи персональных данных, то здесь также оператор персональных данных должен проверять как их зарубежный партнер соблюдает секретность этих данных. Если таких доказательств не предоставлено, то такая передача преследуется по закону.
Также в части нарушений встречаются случаи хранения персональных данных дольше, чем определяют цели. В качестве примера: персональные данные, предоставленные, к примеру, на проходной какого-нибудь предприятия, могут храниться там неизвестно какой срок. В законе же четко прописано, что они подлежат уничтожению в трехдневный срок. Все указанные нарушения, это живая информация, по большей части подобных нарушений существуют решения прокуратуры, протоколы и решения судов по административной ответственности».
В свою очередь, о нормативных правовых актах и методических документах ФСТЭК России в области защиты персональных данных рассказал в своем выступлении начальник 2 отдела управления ФСТЭК России по СЗФО Владимир Киреев.
По словам г-на Киреева, необходимая правовая база для того, чтобы закон работал в полную силу на сегодняшний день существует. В частности, более подробно в своем выступлении спикер говорил о методических документах ФСТЭК, которые были разработаны во исполнение постановления правительства РФ №781: «ФСТЭК разработало и представило следующие нормативные методические нормативные документы: Первый документ это «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах». Второй – «Методика определения актуальных угроз безопасности персональных данных». Третий документ: «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах». И, наконец, четвертый — «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных обрабатываемых в информационных системах». Все эти документы были утверждены заместителем директора ФСТЭК России 15 февраля 2008 года. Хочу добавить, что два первых документа из перечисленных – «Базовая модель…» и ««Методика определения актуальных угроз…» останутся документами для служебного пользования. Два оставшихся документа будут находиться в открытом доступе и их можно будет посмотреть на сайте ФСТЭК России».
Что касается тем, которые обсуждались в других двух секциях конференции «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных», то одна их них была посвящена средствам защиты информационных систем персональных данных. В частности, средствам предотвращения несанкционированного доступа, антивирусным средствам, криптографии, а также практическим решениям по реализации защиты информационных систем персональных данных. На еще одной секции обсуждались вопросы организации подготовки специалистов в области защиты персональных данных.
Если говорить о SFITEX в целом, то данное мероприятие является крупнейшим форумом по безопасности в Северо-Восточной Европе. В нынешнем году в форуме принимают участие 240 компаний из 12 стран. Компании представляют на выставке разработки и достижения в сфере безопасности.
К примеру, компания «Аргус Спектр» в числе прочего представляет на выставке свою беспроводную систему противопожарной безопасности «Стрелец», а также устройство индивидуального оповещения о пожаре «Браслет-Р», которое предназначено в первую очередь для использования в больницах, домах престарелых и других объектах с постоянным пребыванием людей с ограниченными возможностями. Также у устройства «Браслет-Р» предусмотрена функция вызова медперсонала.
В числе прочего, аналитическую цифровую систему безопасности GOALcity представляет компания «СпецЛаб». Особое внимание в данной системе уделено видеоаналитике и комплексу аналитических алгоритмов «Внимание!». Аналитический алгоритм «Внимание!» ищет и выделяет ключевые моменты в происходящих событиях, которые транслируются с камер видеонаблюдения. К примеру, вошел новый человек, кто-то открыл шкаф, дотронулся до прилавка и т.д.
Также можно отметить компанию «EkeyRUS Биометрические системы», которая является представителем Австрийской ekey в России. На выставке компания представляет свои продукты и решения по биометрическим системам доступа по отпечаткам пальцев.
Линейку программно-аппаратных продуктов представляет в числе прочего компания ISS. В нее входят такие продкуты как «Авто-Инспектор», система распознавания автомобильных номеров, «Транзит-Инспектор» — система распознавания номеров железнодорожных вагонов, цистерн, платформ и «Карго-Инспектор» (система распознавания номеров контейнеров).
источник: http://spbit.su/news/n67045/
