Участники “SPb CIO Club” обсудили защиту персональных данных

26.04.2010
13 апреля 2010 года в Санкт-Петербургской торгово-промышленной палате прошел Совместный семинар «Организация системы защиты персональных данных» Санкт-Петербургского клуба ИТ-директоров “SPb CIO Club” и Комитета по ИТ торгово-промышленной палаты СПб.

Участники семинара обсудили закон о защите персональных данных и  изменения, которые были внесены в нормативные документы за прошедшие полгода. Особое внимание было уделено основным техническим требованиям, должностным инструкциям сотрудников, а также определению класса информационной системы компании.<br /><br />
<br /><br />
Юрий Шойдин, член правления российского союза ИТ-директоров (СоДИТ) и член консультативного Совета при Роскомнадзоре, директор по ИТ ГК «Интарсия» и  Сергей Опарин, ведущий специалист по информационной безопасности ООО «СБС-инфо», кандидат экономических наук дали практические рекомендации по организации защиты персональных данных. Как отметил Юрий, новая версия регламента, который выпустил Роскомнадзором, отличается от предыдущего прежде всего тем, что включает в себя расширенный закрытый перечень оснований для плановой и внеплановой проверок. Кроме того в приказе от ФСТЭК решением от 5 марта отменены два пункта, которые связаны с рекомендациями по обеспечению безопасности ПД и проведению мероприятий по их организации и техническому обеспечению. Также указом от ФСТЭК отменена обязательная аттестация ИСПД и обозначено, что средства защиты могут проходить не только обязательную сертификацию, но также применять добровольную сертификацию и декларацию соответствия. Юрий Шойдин отметил, что для большинства организаций областями хранения и обработки персональных данных являются система бухгалтерского учёта, система расчёта заработной платы, а также система контроля доступа и система учёта кадровой информации.<br /><br />
<br /><br />
Сергей Опарин указал на то, что все приказы, относящиеся к защите персональных данных, разрабатываются лично или под руководством ответственного за обеспечение безопасности персональных данных и доводятся до исполнителей «под роспись». В содержание должностных инструкций работников, допущенных к обработке ПДн должно быть добавлено требование о знании основных государственных и внутренних нормативных документов в области защиты персональных данных, обязанность соблюдать конфиденциальность обрабатываемых персональных данных, обязанность о немедленном информировании непосредственных начальников при выявлении утечки или угрозы утечки персональных данных, ответственность за нарушение конфиденциальности обработки персональных данных.<br /><br />
<br /><br />
Помимо этого Сергей обозначил разницу между видами ответственности, которая наступает при нарушениях со стороны ответственного за обеспечение безопасности персональных данных. Так, за допуск к обработке персональных данных работников, не соответствующих требованиям инструкции, наступает административная ответственность, а вот за нарушение конфиденциальности персональных данных, вызванное несоблюдением должностных обязанностей, – уголовная.<br /><br />
<br /><br />
<br /><br />
Далее Дмитрий Савченко, специалист по сертификации систем управления ООО «Ти эМ эЛ»  рассказал об оценке соответствия ИСПД относительно стандарта ISO/IEC 27001:2005. Дмитрий отвечая на вопрос: «Почему широко распространенная модель СМК на базе требований ИСО 9001 не смогли решить существующие проблемы в области ИБ?», отметил несколько причин. Во-первых, перед данной системой не ставились такие задачи, во-вторых, при создании СМК изначально ограничивалась рамками ISO 9001, в-третьих, на это оказало влияние отсутствие глубокого понимания первым лицом организации возможностей управленческих технологий в сфере ИБ и др.<br /><br />
<br /><br />
Высказывая личные мнения по обсуждаемой теме, многие участники заявили, что данный закон не учитывает многие факторы: бюджет компании, формы собственности и др. и поэтому далек от существующей реальности. А также создает множество трудностей для небольших организаций, ведь для его обеспечения требуется создание специального отдела и назначение ответственного за реализацию всех требований. Докладчики же объяснили, что затраты на обеспечение закона о защите персональных данных приемлемы. <br /><br />
<br /><br />
По окончанию семинара участникам было предложено заполнить показатели в бланке: категорию персональных данных Хпд, объем персональных данных Хнпд, характеристики системы, наличие подключений к сетям связи и др. По итогам заполненных документов был произведен анализ ошибок.