До часа «Х» – меньше 100 дней Что делать с персональными данными?

На вопросы «СА» отвечают сопредседатели комитета по информационной безопасности МОО «Союз ИТ-директоров России» Виктор Минин и Юрий Шойдин

– Бизнес-сообщество сегодня активно обсуждает Федеральный закон «О персональных данных». 1 января 2010 года информационные системы персональных данных (ИСПДн) должны быть приведены в соответствие с его требованиями. Времени для этого мало. Что делать?

– Необходимо разделять позицию законодателя в отношении операторов, которые обязаны обрабатывать персональные данные (ПДн) согласно требованиям ФЗ и в отношении субъектов персональных данных, права которых должны быть защищены.

Очень условно деятельность оператора ПДн можно разделить на две части – «нетехническая» и «техническая». «Нетехническая» (административная и документарная) сторона вопроса защиты оператором обрабатываемых персональных данных заключается в формировании документарной базы, являющейся основой защиты ПДн, и административных мероприятий, позволяющих судить о защите ПДн.

Если говорить о «технической» стороне, необходимо учитывать, что в информационной системе предприятия приложений, обрабатывающих ПДн, значительно больше, чем мы себе представляем.

Поэтому их выявление и выполнение технических мероприятий по защите – одна из первостепенных задач оператора.

К сожалению, вышедший ФЗ имеет целый ряд существенных нестыковок с ранее действующими законодательными актами.

– Что это за противоречия?

– Согласно закону данные, попадающие под его действие, можно трактовать как самостоятельный режим «ограниченного использования». Значит, необходимо «вынесение» ПДн из других существующих режимов. С точки зрения законодательства такой подход неверен, потому что «персональные данные» по классификации являются информацией, а не режимом.

В законе «Об информации, информационных технологиях и защите информации» указывается, что персональные данные не должны передаваться пользователю без согласия субъекта, а в законе «О персональных данных» отмечается ответственность оператора персональных данных за их распространение.

Еще одной острой юридической проблемой является лицензирование. Дело в том, что закон «О персональных данных» не предусматривает лицензирования деятельности оператора ПДн.

С другой стороны, есть закон «О лицензировании отдельных видов деятельности», согласно которому в определенных случаях, например когда оператор обрабатывает ПДн не только для собственных нужд, их защита подлежит лицензированию.

Стоит отметить, что всем операторам придется получать соответствующие лицензии ФСТЭК и/или ФСБ. По крайней мере, до тех пор, пока вопрос лицензирования не будет разъяснен регуляторами.