ПРОБЛЕМЫ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ. НОРМАТИВЫ ПРИНЯТЫ, ЧТО ДАЛЬШЕ?

и не претендуют на полноту анализа изменений российского законодательства

ВНИМАНИЕ!

и/или организующее обработку персональных данных, является оператором персональных данных и обязано обеспечить их защиту.
С 1 января 2008 года деятельность операторов считается легализованной при наличии регистрации этих операторов в реестре.
До 1 января 2010 года все операторы обязаны обеспечить защиту персональных данных.

По оценкам ФСБ России и ФСТЭК России на сегодняшний день требования Закона касаются около 7 млн. организаций.

и введены в действие ряд нормативных и методических документов в области защиты персональных данных.

Нормативные и методические документы по защите персональных данных разработаны во исполнение
Закона 2006 г. № 152-ФЗ «О персональных данных» и
Постановления Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в ИС персональных данных»

любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки

уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий
(ФЗ «О персональных данных» ст. 19, ч. 1)
ИС ПДн делятся на «типовые» (защита только конфиденциальности) и «специальные» (защита конфиденциальности + хотя бы 1 характеристика безопасности дополнительно)
«Порядок проведения классификации ИС ПДн» (Приказ № 55/86/20, п. 14 -16)

Как обеспечить безопасность ПДн Несогласованность классификации ИС ПДн

То есть, Закон устанавливает необходимость обеспечения для всех ИС не только конфиденциальности, но и других характеристик безопасности, а нормативный документ выделяет ИС, в которых защищается только конфиденциальность

Проблема: проведение корректной классификации ИС ПДн и, следовательно, определения требований по их защите

всегда учитывают уже действующие

Проблема: проведение гармонизации требований по защите с уже используемыми в существующих информационных системах

организаций могут обрабатываться:
сведения, относящиеся к коммерческой тайне
персональные данные
служебная тайна
другая информация
Для реальных ИС используются требования РД ФСТЭК России по классу 1Г, СТР-К, ГОСТ Р 52448-2005 (для операторов связи), новые требования по защите ПДн

Какие требования выполнять? Необходимость реализации единого и комплексного подхода к защите ИС

Проблема: отсутствие механизма определения совокупных требований к реальным ИС

ряда параметров требования не определены

Проблема: уточнение требований по защите ПДн с уже используемыми в существующих информационных системах

применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия».
Постановление Правительства РФ от 17.11.2007 г. № 781, ст. 5

Новые документы вводят новые требования к СЗИ ПДн

Проблема: В настоящее время отсутствуют СЗИ, которые формально можно применять для защиты ПДн.

следовательно, определить требования по их защите
Как гармонизировать требования по защите ПДн с уже используемыми в существующих ИС
Как определить совокупные требования к реальным ИС
Какие СЗИ, можно применять для защиты ПДн