вторник, 1 июня 2010 г.

Статья в журнале "Директор по безопасности"

В апрельском номере журнала Директор по безопасности опубликована моя статья "Практический подход к построению системы защиты персональных данных в организации". В ней я постарался обобщить все свои предыдущие презентации и выступления на тему защиты персональных данных. Основная "фишка" публикации - рассмотрение проблемы защиты персональных данных с точки зрения процессного подхода, применяемого в стандарте ISO 27001.



"Ситуацию с защитой персональных данных в РФ можно охарактеризовать как далекую от идеала - достаточно вспомнить сотни предложений о приобретении баз данных сотовых операторов, ГИБДД, налоговой службы и многое, многое другое. Многочисленные сообщения о краже баз данных, содержащих данные кредитных карт, номеров социального страхования и прочей информации уже никого не удивляют. Все это говорит о том, что на эти сведения есть огромный спрос со стороны других мошенников, а стало быть – будет и предложение.
Конечно, государство не может остаться безучастным, учитывая огромные масштабы посягательств на конституционные права и свободы своих граждан – права на личную и семейную тайну. Именно поэтому персональные данные граждан РФ отнесены к конфиденциальной информации, а в 2006 году был принят федеральный закон 152-ФЗ «О персональных данных», основной задачей которого является защита прав и интересов персональных данных физических лиц.
В соответствие с законом, к персональным данным отнесены фактически любые сведения о гражданине, который считается субъектом персональных данных. Все организации, так или иначе имеющие дело с персональными данными субъектов, являются операторами, и обязаны принимать организационные, а в случае обработки персональных данных в автоматизированных системах - и технические меры по их защите.
Вступление в силу 30 декабря 2009 года федерального закона 363-ФЗ, вносящего поправки в 19 и 25 статьи закона «О персональных данных», воспринято большинством руководителей и специалистов однозначно - закон перенесен на один год. Именно такую формулировку приходится слышать на семинарах и конференциях, видеть в публикациях средств массовой информации.
На самом деле, закон «О персональных данных» действует с 2006 года и до настоящего времени. Перенесен лишь срок приведения в соответствие с требованиями закона автоматизированных информационных систем, обрабатывающих персональные данные граждан. Все остальные требования закона – получение согласия субъекта на обработку персональных данных и передачу их третьим лицам, защита от несанкционированного доступа, о правах субъекта и обязанностях оператора действуют в неизменном виде уже три года.
При этом все без исключения операторы увлечены активным обсуждением часто меняющихся требований по реализации технической защиты информационных систем, и мало кто обращает внимание на первую – и самую главную – часть системы защиты – организационные мероприятия. О них и пойдет речь в данной статье..."

Полная версия статьи размещена здесь.

4 комментария :

  1. Севостьянов8.6.10

    Хорошая публикация - мне понравилась. Побольше бы таких ато пишут черте что да на 100 листах.

    ОтветитьУдалить
  2. Спасибо, в скором времени выйдет еще интересней!

    ОтветитьУдалить
  3. Анонимный8.4.13

    If you wish for tо οbtаin а gooԁ ԁeаl frοm this pіeсе of ωriting then you have tο applу such strategieѕ
    to your ωon weblog.

    Havе a looκ at my blog; payday loans

    ОтветитьУдалить
  4. Анонимный28.4.13

    Hi! Do you know if they make any plugins to assist with Search
    Engine Optimization? I'm trying to get my blog to rank for some targeted keywords but I'm
    not seeing very good gains. If you know of any please share.
    Appreciate it!

    Also visit my homepage Dorinda Kuzminski

    ОтветитьУдалить