Депутаты Госдумы приняли окончательные поправки в закон «О персональных данных»

image

Теги: Госдума, закон, персональные данные, новость

Согласно 19 статье этого закона, меры по обеспечению безопасности персональных данных физических лиц будут контролироваться ФСБ и ФСТЭК

Депутаты Государственной Думы отказали коммерческим организациям в возможности самим выбирать себе меры по защите информационных систем. В третьем чтении были приняты поправки к закону «О персональных данных», в 19 статье которого прописаны «Меры по обеспечению безопасности персональных данных при их обработке». Данная статья является критически важной для большого количества российских компаний, осуществляющих автоматическую обработку данных о физлицах.

Принятая редакция закона обязывает операторов телекоммуникационных услуг, банки, туристические агентства, страховые компании и пр. соблюдать технические требования по защите информации, устанавливаемые правительством.

Правительством было издано классификатор типов персональных данных в зависимости от количества субъектов данных и полноты информации о них. Федеральная служба безопасности (ФСБ) и Федеральная служба по техническому и экспортному контролю (ФСТЭК), непосредственно разрабатывают требования к защите информации и имеют право осуществлять контроль над выполнением этих требований.

Данный закон был принят еще в 2006 году, но в нем была введена отсрочка нормы о защите информации до 1 января 2010 года. Впоследствии Госдума продлевала этот срок дважды, в последний раз до июля 2011 года.

В мае этого года депутатами было принято решение не откладывать срок очередной раз, но облегчить требования закона. Законопроект с поправками, внесенный председателем комитета Госдумы по финансовым рынкам Владиславом Резником и принятый в первом чтении, предполагал следующую редакцию статьи 19: «Правительство устанавливает требования к защите персональных данных только в государственных и муниципальных информационных системах в случаях, когда такая обработка данных предусмотрена законами».

Соответственно, ФСБ и ФСТЭК могли бы контролировать меры по защите информации только в этих системах. Кроме того, отдельный пункт статьи гласил, что оператор персональных данных и субъект этих данных (физическое лицо) могут сами договориться о принимаемых мерах защиты. Однако во втором чтении депутаты одобрили поправку главы комитета по конституционному законодательству и государственному строительству Владимира Плигина, предложившего совсем иную редакцию статьи 19. Согласно принятому документу, правительство классифицирует уровни защиты информации, а требования к защите устанавливают ФСБ и ФСТЭК. Центробанк и отраслевые министерства могут принять нормативные акты, описывающие угрозы при обработке данных в соответствующих сферах, а отраслевые ассоциации и саморегулируемые организации могут дополнить перечень угроз. Все эти документы также подлежат согласованию с ФСБ и ФСТЭК.

Правительство также может определить перечень информационных систем, не относящихся к государственным и муниципальным, контроль за защитой информации в которых будут осуществлять ФСБ и ФСТЭК. Принятая редакция статьи 19 также налагает на операторов персональных данных ряд дополнительных требований: использовать сертифицированные средства защиты, оценивать эффективность используемых мер защиты до ввода информационной системы в эксплуатацию, устанавливать правила доступа к персональным данным и производить регистрацию всех действий с ними, обеспечивать восстановление информация в случае ее несанкционированного удаления.

Таким образом, законодатели не только передумали упрощать требования 152-ФЗ, но и ввели новые требования. Источник в крупной телекоммуникационной компании объясняет произошедшее лоббистскими усилиями ФСБ и ФСТЭК, поскольку аккредитованные при них структуры будут получать доход от сертификации систем обработки персональных данных. Если закон в таком виде вступит в силу, всем компаниям, обрабатывающим данные о физических лицах, придется смоделировать угрозы для соответствующих систем и внедрить комплекс технических мер защиты.

Речь идет об установке следующих подсистем: разграничения доступа, криптографической защиты информации, антивирусной защиты, обнаружения вторжений, анализа защищенности, аудита событий безопасности и межсетевого экранирования. Кроме того всем операторам необходимо пройти сертификацию уже имеющихся средств защиты информации и изменить архитектуру корпоративной информационной системы для реализации функций защиты. В результате, расходы на установку системы обработки персональных данных для разных компаний могут составлять от 10 до 200% годового оборота плюс операционные затраты на техническую поддержку системы защиты составят 10-15% от стоимости самих систем.

Экспертное сообщество ИБ-специалистов выразило свое недовольство принятым вариантом поправок в открытом письме президенту Дмитрию Медведеву, которое подписали Александр Бондаренко, Алексей Волков, Алексей Лукацкий, Александр Токаренко и Евгений Царев. “Российским операторам персональных данных законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества, - говорится в письме. - Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных”.

Далее эксперты отмечают, что операторы с большой вероятностью переложат расходы на субъектов персональных данных. В письме также отмечается, что законопроект не проходил антикоррупционную экспертизу. По мнению его авторов, создаются предпосылки для вывода информационных систем за пределы России в страны Евросоюза, “где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта”. Авторы обращения просят президента отклонить законопроект, направить его на общественные слушания и доработку.


или введите имя

CAPTCHA
Страницы: 1  2  
qwerty
08-07-2011 18:58:25
Куча воды и ничего конкретного
0 |
Lanan_Makz
08-07-2011 19:45:39
Ты прям всю новость прочитал и не нашел ничего конкретного о_О?
0 |
17189
09-07-2011 21:17:47
страна имбицилов... блатные со связями всё-равно достанут информацию на любого, а простым людям палки в колеса. Спасает только коррупция, страна настолько гнилая что законами можно подтираться
0 |
FSA
08-07-2011 20:42:13
Какая нафиг защита персональных данных, если половину данных пожно получить в подъезде из разбросанных счетов за электроэнергию, связь, коммунальные услуги.
0 |
пекарь
08-07-2011 21:24:13
А ещё каждый не раз отдавал паспорт под ксерокопирование. А иногда оставлял и копии в разных местах (салоны сотовой связи и прочие подобные эпизоды) ололо
0 |
Субъект ПД
10-07-2011 09:53:35
Лучше бы совершенствовали судебную систему и с коррупцией боролись, а не дополнительные административные барьеры вводили. Достаточно в законодательстве зафиксировать серьезную ответственность ЗА факт незаконной обработки (в т.ч. распространения, передачи) ПД. Что бы пострадавшие всегда могли обратится в суд и отстоять свои права на компенсацию ущерба. А компания - виновник что бы не только ущерб пострадавшим компенсировала, но и штрафы. А дальше рынок сам отрегулирует кто и какие продукты, методики и т.п. будет использовать. А так появляется 3-е сторона в лице государства, которая в данном случае ни за что не отвечает, а только бабки гребет за сертификацию и т.п. Не говоря уже про то, что это не способствует снижению коррупции.
0 |
123
11-07-2011 09:08:30
Абсолютно верно!
0 |
Werewolf
11-07-2011 09:42:17
Этот закон не для защиты ПД, а нужен только для набивания карманов чиновников и их родственников... И про борьбу с коррупцией можно просто забыть после вступления в силу этого закона (ФЗ№152).
0 |
секир
11-07-2011 09:52:50
А потом удивляются-почему это идет отток бизнеза из этой страны. Конечно, если будет угроза потратить до 200% годового оборота-дану нафик, я сваливаю в более лояльные страны. Услуги мои нужны, налоги мои нужны, если в этой стране не нужны-досвидос. Жаль что таким образом государство загубит огромную часть малого и среднего бизнеса - они просто не осилят и будут закрываться. Ведь повышать цены на услуги нельзя, а где взять столько денег на фсб? Сами себе копают яму, ящитаю.
0 |
Страницы: 1  2