8 800 700-04-04
Звонок бесплатный по всей России

Полгода до дня «Х»

Три года назад в России был принят один из самых неоднозначных и нашумевших законов -№ 152-ФЗ «О персональных данных», который регулирует деятельность операторов (а по сути любых государственных или коммерческих структур) при обработке персональных данных (ПДн). Требования по защите ПД должны быть выполнены до 1 января 2010 г.

Несмотря на появление через полтора года после принятия Закона № 152-ФЗ подзаконных актов ФСТЭК России и ФСБ России, призванных разъяснить его основные положения и дать методические указания по его исполнению, можно считать, что ответственные госорганы за все время действия закона не представили однозначного толкования того, как нужно выполнять его требования. Несовершенство закона и непрозрачность путей его реализации заставляет компании быть готовыми к различного вида «придиркам» со стороны проверяющих органов.

Тем временем до дня Х, когда начнутся проверки исполнения требований Закона, осталось ровно полгода (с учетом традиционных новогодних праздников).

В связи с этим у руководителей предприятий и учреждений чаще всего возникают два вопроса:

Как доработать собственную систему, содержащую ПДн, в соответствии с требованиями закона? Как сделать это вовремя?

Практически любая система в организации в том или ином виде оперирует персональными данными — кадровые учетные системы хранят данные о собственных сотрудниках, бухгалтерские системы обрабатывают сведения о доходах сотрудниках, CRM и ERP системы содержат данные о клиентах и контрагентах. Федеральные и муниципальные автоматизированные системы зачастую содержат персональную информацию о тысячах и миллионах граждан. При инвентаризации ИТ-ресурсов организации выясняется, что персональные данные обрабатываются в массе других приложений — в системах контроля доступа, на рабочих станциях структурных подразделений, ведущих работу с письмами и жалобами граждан, и т. д.

Чтобы соответствовать требованиям закона для каждой отдельной информационной системы необходимо составить перечень обрабатываемых в ней персональных данных, разграничить и документально оформить доступ пользователей к этим данным, классифицировать и защитить все компоненты программного обеспечения. В зависимости от установленного класса защищенности информационной системы, обрабатывающей персональные данные, требуется использование сертифицированных ФСТЭК/ФСБ России средств защиты информации. Этот процесс занимает до года работы (а в некоторых случаях и дольше) и требует существенных финансовых затрат.

Таким образом, становиться понятно, что оставшихся месяцев не хватить на разработку и аттестацию полноценной системы защиты ПД. И здесь встает извечный русский вопрос «что делать?».

На собственном опыте специалисты ЭЛАРа убедились в том, что универсального «коробочного» решения для построения информационной системы организации, отвечающей всем требованиям регуляторов, не существует.

В условиях финансового кризиса 2008−2009 годов многие организации не готовы к выделению дополнительных средств на реализацию всего комплекса защитных мер. В результате они вынуждены нести риски быть подвергнутыми уголовной или административной ответственности по итогам проверок.

Чтобы избежать подобных негативных последствий проверок специалисты Корпорации советуют следовать концепции добросовестного исполнения закона. Существует ряд организационных и технических мер, которые любая организация может осуществить собственными силами в достаточно краткие сроки без значительных финансовых затрат:

первое: разработать и закрепить в нормативных документах все организационные и технические меры информационной безопасности, предпринимаемые для защиты персональных данных, содержащихся в информационных системах организации; второе: провести обучение ответственного персонала основам защиты ПДн согласно действующему законодательству; третье: организовать выделенное защищенное хранилище всех персональных данных организации на основе существующих сертифицированных решений.

Тогда, если в организацию придет проверка, можно будет продемонстрировать проверяющим органам предпринятые усилия в данном направлении и план работ на будущее. В результате, разговор с проверяющими органами пойдет об устранении выявленных недостатков, а не о немедленной приостановлении деятельности всей организации.

Весь этот комплекс работ вполне реально осуществить в оставшиеся до проверок полгода.

собственных решениях по автоматизации кадрового делопроизводства, а также внутри организации, корпорация ЭЛАР использует комплекс ЭЛАР САПЕРИОН. Данный комплекс представляет собой полнофункциональную платформу для создания автоматизированной системы управления электронными информационными ресурсами (в частности — персональными данными), полностью отвечающую всем требованиям нового законодательства. Программное обеспечение ЭЛАР САПЕРИОН сертифицировано по требованиям ФСТЭК России по НДВ-4 и разрешено к применению в АС до класса защищенности 1 Г включительно. Программное обеспечение ЭЛАР САПЕРИОН внесено 7 июля 2008 года в Государственный реестр сертифицированных средств защиты информации (ФСТЭК России) за номером 1638 и с указанием возможности его использования для защиты информации в информационных системах персональных данных (ИСПДн) до 1 класса включительно (высшая категория защиты персональных данных уровня «гостайны»).

Таким образом, значительно упрощается процесс аттестации типовой информационной системы предприятия на соответствие требованиям российского законодательства в части защиты конфиденциальной информации, обеспечивает безопасность использования этих данных в информационной среде предприятия, а так же существенно снижает объем первоначальных инвестиций на создание и аттестацию систем защиты.

7 Июля 2009

Назад к списку новостей

Контактная информация

Ведущий пресс-менеджер
Анна Коузова

Телефон: +7 (495) 274-31-31 доб. 1314
Email: AKouzova@elar.ru

Напишите нам

* — обязательные поля

Обратный звонок

* — обязательные поля

Спросите эксперта

* — обязательные поля

Заявка

* — обязательные поля