Текущие изменения в законодательство, регулирующее работу с персональными данными
Финансовая газета,
11 января 2009 г.
Персональные данные клиентов в банках и страховых компаниях 5975 просмотров
До 1 января 2010 г. остался один год. Это – срок, установленный Федеральным законом «О персональных данных» для приведения информационных систем персональных данных в соответствие с новым законодательством, в первую очередь их подсистем информационной безопасности, так как именно к ним выдвигаются конкретные требования. Изменений законодательства не предвидится, поэтому времени не осталось совсем. Что нужно сделать?
Структура государственного регулирования
Требования к обеспечению безопасности обработки персональных данных содержатся в значительном количестве документов различного уровня. Федеральный закон от 27.07.06 г. № 152-ФЗ «О персональных данных» ограничивается лишь тем, что ст. 19 устанавливает норму, в соответствии с которой «оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».
Это означает, что к персональным данным в полном объеме предъявляется классическая триада требований информационной безопасности – обеспечение целостности, доступности и конфиденциальности. Формирование собственно требований к обеспечению безопасности персональных данных Законом №152-ФЗ возложено на Правительство Российской Федерации, которое уже приняло три постановления по данному вопросу:
от 17.11.07 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
от 6.07.08 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
от 15.09.08 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
В постановлениях даны наиболее общие, высокоуровневые требования, которые затем конкретизируются в нормативно-методических документах ФСТЭК, ФСБ и Мининформсвязи России.
К последним относятся:
совместный приказ ФСТЭК, ФСБ и Мининформсвязи от 13.02.08 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».
нормативно-методические документы ФСТЭК России, определяющие порядок формирования модели актуальных угроз персональным данным и проведения мероприятий по организационному и техническому обеспечению безопасности персональных данных (без использования криптографических средств защиты информации) при их обработке в информационных системах; нормативно-методические документы ФСБ России, регламентирующие порядок применения криптографических средств для защиты персональных данных и содержащие рекомендации по выполнению этих работ.
Кроме указанных документов «прямого действия» для осуществления работ по обеспечению безопасности обработки персональных данных должны выполняться положения и других документов, общих как для всей системы регулирования информационной безопасности в нашей стране, так и для работ, касающихся защиты сведений ограниченного доступа. Они имеют примерно такую же иерархическую структуру, как было указано выше. В качестве примеров можно привести федеральные законы «Об информации, информационных технологиях и о защите информации» и «О лицензировании отдельных видов деятельности», указы Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» и «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», постановления Правительства Российской Федерации «О лицензировании деятельности по технической защите конфиденциальной информации» и «О сертификации средств защиты информации», нормативные документы ФСБ России – «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» и руководящие документы ФСТЭК России, выдвигающие требования к системам предотвращения несанкционированного доступа и межсетевым экранам. Использование всех этих документов будет необходимо для конкретизации требований к информационным системам персональных данных (ИСПДн) и проектирования их подсистем безопасности.
Необходимые шаги
Для приведения обработки персональных данных в соответствие с требованиями законодательства в первую очередь надо выявить в информационной системе те подсистемы, которые обрабатывают персональные данные. Их окажется гораздо больше, чем могло показаться. Но, безусловно, к ним необходимо будет отнести систему бухгалтерского учета, позволяющую рассчитывать заработную плату и другие доходы работников. Найти сейчас организацию, где это делается вручную, практически невозможно. Это и весьма популярная «1С» практически во всех модификациях, «Турбо Бухгалтер» и «Инфо Бухгалтер» и др. Кроме серверов в ИСПДн будут входить рабочие станции, с которых осуществляется доступ к бухгалтерскому серверу, а также ряд других серверов, обеспечивающих возможность работы с этими приложениями в сети.
В банках к ИСПДн в силу особенностей обработки следует отнести практически все автоматизированные банковские системы (АБС), в страховой компании – базу данных клиентов и договоров страхования. Все эти системы должны быть классифицированы в соответствии с приказом ФСТЭК, ФСБ России, Мининформсвязи России (ИСПДн, четыре класса, которые устанавливаются в зависимости от количества и категории обрабатываемых персональных данных). Для каждой системы должна быть сформирована актуальная модель угроз информационной безопасности.
Для нейтрализации актуальных угроз необходимо принять контрмеры, выбрать средства защиты информации, реализующие функционал, определенный в нормативных документах ФСТЭК и ФСБ России, причем не просто средства, подходящие по характеристикам, а обязательно сертифицированные по требованиям ФСТЭК или ФСБ России.
Практически на всех этапах деятельность по построению подсистемы безопасности должна оформляться документально, начиная с классификации и не заканчивая описанием системы защиты, обеспечивающей нейтрализацию угроз для соответствующего класса ИСПДн, и заключением о возможности эксплуатации средств защиты персональных данных. При этом неизбежно встанет вопрос об использовании встроенных в операционные системы и соответствующие приложения механизмов безопасности. Сделать это можно только в том случае, если данные механизмы сертифицированы или готовы к сертификации в системах ФСТЭК (для некриптографических средств) или ФСБ России (для средств криптографической защиты). Учитывая требование об обязательной аттестации (сертификации) ИСПДн первого и второго классов, сертификационные испытания должны быть закончены до представления системы на аттестацию.
Следует отметить, что построение системы технической защиты персональных данных – дело очень сложное, дорогостоящее и длительное.
Проблемы нетехнические
В ходе работ по приведению обработки персональных данных в соответствие с требованиями законодательства неизбежно возникнет ряд проблем, которые не решаются техническими средствами.
Ключевым вопросом является оценка наличия предусмотренных законодательством оснований для обработки персональных данных, а в случаях когда они отсутствуют – получение согласия субъекта. При этом согласно Закону № 152-ФЗ обязанность предоставить доказательство о получении согласия субъекта персональных данных на их обработку возлагается на оператора, т.е. в рассматриваемых в статье случаях – на предприятие-работодателя, банк или страховую компанию.
Во многих банках оценили риски, связанные с нарушением законодательства о персональных данных, и в договорах с клиентами – физическими лицами появились положения примерно следующего содержания: «Настоящим даю свое согласие банку на обработку своих персональных данных в соответствии с требованиями Федерального закона «О персональных данных» и на получение банком необходимой информации из Бюро кредитных историй в соответствии с Федеральным законом от 30.12.04 г. № 218-ФЗ «О кредитных историях». Однако иногда банки толкуют положения данного закона весьма расширительно и фактически принуждают клиента к согласию на обработку, не предусмотренную законом. Примером может служить выдержка из типового договора одного из банков: «Банк и Заемщик обязуются не разглашать каким-либо способом третьим лицам информацию, … включая персональные данные Заемщика, за исключением случаев, предусмотренных законодательством Российской Федерации и настоящим Договором, в том числе иным лицам, в процессе осуществления и защиты Банком своих прав, обязанностей и законных интересов, когда предоставление персональных данных происходит в соответствии со сложившимся обычаем делового оборота». В законе нет такого основания для передачи персональных данных, как обычаи делового оборота, не указаны и третьи стороны, которым персональные данные заемщика предполагается передавать, да и защита своих интересов банком заемщика волновать не должна. В страховых компаниях проблемы осложняются тем, что в договорах страхования зачастую указываются персональные данные не только страхователя, но и застрахованного лица и выгодоприобретателя, которые согласия на обработку своих данных компании не давали. То же самое касается договоров, которые заключаются работодателями в интересах работников (например, добровольного медицинского и пенсионного страхования, страхования несчастных случаев). При этом согласие работников на передачу персональных данных никак не оформляется, что в случае конфликта может привести к искам субъектов персональных данных как к работодателю, так и к страховой компании.
Особое внимание следует уделить передаче персональных данных третьим лицам как с точки зрения наличия основания для такой передачи, предусмотренного законами Российской Федерации или в виде согласия субъекта (например, закрепленного в договоре на оказание услуг), так и с точки зрения обязательного наличия договора с этим третьим лицом, существенным условием которого должна быть обязанность обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их обработке.
Таким образом, в ходе работ по приведению обработки персональных данных в соответствие требованиям Закона № 152-ФЗ их важными составными частями должны стать анализ договорной работы и, при необходимости, корректировка договоров как с физическими, так и с юридическими лицами в части обработки персональных данных, и особенно их передачи третьим лицам.
Необходимо внимательно подойти и к использованию вэб-форм для сбора персональных данных физических лиц, что активно практикуется банками и страховыми компаниями в целях привлечения клиентов, предварительной оценки возможности кредитования, расчета стоимости страховых премий и т.п. В большинстве случаев доказать наличие согласия субъекта на обработку персональных данных, полученных таким способом, вряд ли удастся.
Заключение
В Законе № 152-ФЗ установлен предельный срок, до которого должна быть завершена работа по приведению информационных систем персональных данных, созданных до дня вступления в силу закона – 1 января 2010 г. В связи с этим предстоит сложная, трудоемкая и недешевая работа. Для страховых компаний и банков, чей бизнес напрямую связан с обработкой персональных данных физических лиц, риск нанесения ущерба в случае санкций регуляторов, осуществляющих государственный контроль и надзор, весьма велик – от привлечения к ответственности организации и ее должностных лиц до требований о приостановке обработки персональных данных или прекращения ее вообще, что фактически означает остановку операционной деятельности.
М. ЕМЕЛЬЯННИКОВ, директор по развитию бизнеса компании «Информзащита»
Вся пресса за 11 января 2009 г.
Смотрите другие материалы по этой тематике: Технологии, Страховое право, Регулирование, Управление риском
Установите трансляцию заголовков прессы на своем сайте
|
|
|
Архив прессы
|
|
|
|
Текущая пресса
|
| |
26 декабря 2024 г.
|
|
Finversia.ru, 26 декабря 2024 г.
Автоюристы vs страхование
|
|
Банковское обозрение, 26 декабря 2024 г.
АСВ гарантирует сохранность средств по договорам страхования жизни
|
|
ТАСС, 26 декабря 2024 г.
В РФ создадут систему защиты прав страхующих свою жизнь
|
|
РАПСИ (Российское агентство правовой и судебной информации), 26 декабря 2024 г.
Штраф в пользу потребителя стимулирует бизнес к исполнению обязательств — КС
|
|
ТАСС, 26 декабря 2024 г.
Конкретизировано взыскание штрафа со страховщика за неисполнение требований
|
|
Frank Media, 26 декабря 2024 г.
ЦБ привел пример лучших практик при разработке программ ДСЖ
|
|
Интерфакс, 26 декабря 2024 г.
В новых регионах договоры страхования могут оформить три десятка страховщиков
|
|
ПРАЙМ, 26 декабря 2024 г.
Минфин оценил продажи полисов ОСАГО в новых регионах
|
|
ТАСС, 26 декабря 2024 г.
В Донбассе и Новороссии с января заработают обязательные виды страхования
|
|
ТАСС, 26 декабря 2024 г.
В РФ усилят контроль за работой страховых медицинских организаций
|
|
ТАСС, 26 декабря 2024 г.
В РФ создадут систему защиты прав страхующих свою жизнь
|
|
ПРАЙМ, 26 декабря 2024 г.
Минфин рассказал об обязательных видах страхования в новых регионах
|
|
Коммерсантъ онлайн, 26 декабря 2024 г.
Балицкий напомнил об обязательном ОСАГО для водителей Запорожской области
|
|
Тарантас Ньюс, Брянск, 26 декабря 2024 г.
Водителю стало плохо за рулем - работает ли в такой ситуации страховка в случае ДТП
|
|
Новости транспорта, 26 декабря 2024 г.
Haval Jolion выбился в лидеры по числу оформленных полисов КАСКО с начала года
|
|
Коммерсантъ-Челябинск, 26 декабря 2024 г.
Задержан еще один организатор инсценировок ДТП в Кургане
|
|
Казахстанский портал о страховании, 26 декабря 2024 г.
Руководители Swiss Re описывают проблемы отрасли и факторы роста в 2025 году
|
 Остальные материалы за 26 декабря 2024 г. |
 Самое главное
 Найти
: по изданию
, по теме
, за период
 Получать: на e-mail, на свой сайт
|
|
|
|
|
|