(347) 252-52-08        252-52-17       252-38-98       252-34-36       252-50-67       298-10-40      252-55-50

НАШИ АКЦИИ

• 28.02 – 1.03.12 – АИР-СОФТ НА УРАЛИНФОКОМ 2012
• 15.03.12 – КАК ОЦЕНИТЬ ЦЕННОСТЬ ПО МАЙКРОСОФТ
• 6.03.12 - AIRSOFT GATEWAY – ТЕОРИЯ И ПРАКТИКА
• Заряд эффективности и бодрости от АИР-СОФТ - в подарок!

СПЕЦПРЕДЛОЖЕНИЯ

• Corel – видеокурсы - мощь на 100 %
• NEW! ESET NOD32 Cybersecurity for Mac

БЛАГОТВОРИТЕЛЬНОСТЬ

• ПОДДЕРЖКА ОФРГ
• Акция Сухая попа

Подписаться на новости и акции 

Доступ к закрытой части сайта

• Главная
•  > 
• Продукты, решения, услуги

Защита персональных данных по ФЗ 152

Увы - день, наступление которого несколько раз откладывалось - все же наступил:

1 июля 2011 года вступил в ПОЛНУЮ силу федеральный закон ФЗ № 152 «О персональных данных».

Напоминаем - именно к этой дате все операторы (согласно терминологии закона - организации, обрабатывающие персональные данные) обязаны были привести свои информационные системы в соответствие с требованиями закона. Поскольку с персональными данными - минимум своих сотрудников - работает практически любая компания, то действие закона ФЗ № 152 по приведению информационных систем персональных данных (ИСПДн) распространяется на самый широкий круг предприятий - и Ваше, скорее всего, в том числе.

Закон, первоначальная версия которого была принята еще в 2006 году, адаптировался к реальной жизни с большим трудом, создавая сложности законопослушным компаниям. Причинами были малый практический опыт реализации - на фоне явного несовершенства некоторых статей закона и, как следствие, много вариантностью возможных в рамках закона способов решения задачи по ИСПДн.

Компанией АИР-СОФТ с 2006 года была организована - совместно с представителями Роскомнадзора РФ по РБ и ФСТЭК РФ - серия из 10 разъяснительных и информационных семинаров по вопросам реализации проектов защиты ИСПДн и успешно реализован ряд практических проектов в этой сфере - для государственных структур,коммерческих организаций и медицинских учреждений.

И мы все это время четко наблюдали тенденцию: чем более наши клиенты, да и мы сами, узнавали про этот закон, чем больше проектов завершали - тем больше, как не странно, вопросов появлялось…

Похоже, неоднозначность ситуации осознавали как сами разработчики, так и контролирующие органы. Неоднократный перенос вступления ФЗ в силу был обусловлен именно несовершенством закона и подзаконных нормативных актов, зачастую невозможностью их практического исполнения операторами персональных данных.

Все пять лет с даты появления первой версии закона профессиональные участники рынка информационной безопасности, в том числе и наша компания, постоянно передавала в Роскомнадзор, ФСТЭК и Госудуму свои рекомендации и практические пожелания. Часть их была принята, часть - увы - нет. Поэтому, несмотря на полноправное вступление закона в силу с 1.07.2011, эти недоработки, по нашему мнению, еще будут проявляться в практических проектах по ИСПДн..

Ожидаемо, что с 1 июля 2011 года проверки операторов, проводимые регулирующими органами (в первую очередь, Роскомнадзором, а также ФСТЭК России), примут более жесткий характер. Именно этот факт вызывает больше всего опасений.

По данным из отчета о деятельности Роскомнадзора за 2010 год, за рассматриваемый период было проведено 1253 проверки операторов, что почти в 3 раза больше, чем в 2009 году. По результатам проведенных проверок было выдано 1908 предписаний об устранении выявленных нарушений, составлено и направлено на рассмотрение в суды 2996 протоколов об административных правонарушениях. Общая сумма штрафов за нарушение законодательства в 2010 году составила 4 480 000 р., что почти в 60 раз больше аналогичного показателя прошлого года.

«Динамичная» статистика Роскомнадзора свидетельствует о наличии серьезных проблем в сфере защиты ИСПДн, вызванных - на наш взгляд - недоработками законодательства и отсутствием квалифицированных в этой области кадров. Недоработки порождают разночтение и, как следствие, множество вопросов у юристов, кадровиков и сотрудников IT-отделов клиентов, не располагающих практическим опытом построения ИСПДн.

А если добавить к этому еще разное видение исполнения требований закона разными отделами Ваших компаний - то часто ситуация становится тупиковой, ибо на незнание и несовершенство закона налагается еще и человеческий фактор….

Но - хватит минора - переходим к позитиву:

Как много дел считались невозможными, пока они не были осуществлены». (Плиний Старший)

Поэтому строим ПЛАН решения задачи - а в нем ВСЕГО 5 пунктов:

ПЕРВОЕ и главное - понять, что выполнять требования закона - несмотря на все его несовершенства - НУЖНО.

Вторым шагом - еще раз читаем вышеприведенное высказывание - и чувствуем, как растет наша уверенность.

Третье - осознаем, что для соответствия ИСПДн требованиям ФЗ № 152 должен быть реализован комплекс организационно-технических мер по обеспечению защиты персональных данных, который минимально включает:

- классификацию информационных систем персональных данных;

- анализ и построение моделей угроз безопасности персональных данных;

- формирование на основании выявленных угроз и руководящих документов (ФЗ 152, инструкции ФСТЭК и иных регуляторов) набора требований, предъявляемых именно к Вашей ИСПДн;

- разработку комплекта организационно-распорядительной документации, регламентирующей деятельность организации по защите персональных данных в организации;

- подбор, поставку и внедрение средств защиты информации, сертифицированных в системе ФСТЭК и ФСБ России.

Четвертое - выбираем для себя вариант решения данной задачи- из трех возможных:

1. Делаем все сами - ибо кто лучше нас знает все про защиту ИСПДн (рекомендуется только при наличие в штате специалиста-практика, перешедшего на работу к Вам из организации, специализирующейся на защите информации. На наш взгляд, самый первоначально дешевый вариант, но… его длительность и полная зависимость от данного специалиста часто приводит к росту стоимости проекта)

2. Делаем многое сами - на базе подготовленных для нас шаблонов и под контролем экспертов - призвав на помощь специалистов в области информационной безопасности для консультаций и экспертного контроля, которые проведут нас по всем этапам и разработают нужные документы (рекомендуемый нами вариант - эксперты-исполнители знают правила и требования закона, а Вы прекрасно знаете свою организацию - итоговый симбиоз дает самые эффективные решения - на фоне существенной экономии Вашего бюджета)

3. Целиком отдаем все работы на внешнее исполнение ( самый быстрый вариант, из минусов - самый дорогой)

Обращаем Ваше внимание - мы ПРИЗЫВАЕМ игнорировать вариант «делаем сами, а нас проконсультирует дядя Ваня - он крутой специалист, и обойдется нам дешево….» - обычно (из нашего опыта) такие проекты в итоге становятся ОЧЕНЬ дороги: клиент, заплатив дяде Ване, и потеряв кучу времени, ничего не получает (не считая штрафов по итогам проверки) и вынужден платить второй раз за ИСПДн - уже специалистам

Пятое - начинаем и приводим ИСПДн в полное соответствие с ФЗ 152

Есть вопросы?

ПИШИТЕ и ЗВОНИТЕ

- мы поможем и Вам - подготовить ИСПДн и пройти проверку Роскомнадзора ВОВРЕМЯ и СПОКОЙНО.