Статья в журнале "Директор по безопасности"

Статья в журнале "Директор по безопасности"
В апрельском номере журнала Директор по безопасности опубликована моя статья "Практический подход к построению системы защиты персональных данных в организации". В ней я постарался обобщить все свои предыдущие презентации и выступления на тему защиты персональных данных. Основная "фишка" публикации - рассмотрение проблемы защиты персональных данных с точки зрения процессного подхода, применяемого в стандарте ISO 27001. "Ситуацию с защитой персональных данных в РФ можно охарактеризовать как далекую от идеала - достаточно вспомнить сотни предложений о приобретении баз данных сотовых операторов, ГИБДД, налоговой службы и многое, многое другое. Многочисленные сообщения о краже баз данных, содержащих данные кредитных карт, номеров социального страхования и прочей информации уже никого не удивляют. Все это говорит о том, что на эти сведения есть огромный спрос со стороны других мошенников, а стало быть будет и предложение. Конечно, государство не может остаться безучастным, учитывая огромные масштабы посягательств на конституционные права и свободы своих граждан права на личную и семейную тайну. Именно поэтому персональные данные граждан РФ отнесены к конфиденциальной информации, а в 2006 году был принят федеральный закон 152-ФЗ [О персональных данныхk, основной задачей которого является защита прав и интересов персональных данных физических лиц. В соответствие с законом, к персональным данным отнесены фактически любые сведения о гражданине, который считается субъектом персональных данных. Все организации, так или иначе имеющие дело с персональными данными субъектов, являются операторами, и обязаны принимать организационные, а в случае обработки персональных данных в автоматизированных системах - и технические меры по их защите. Вступление в силу 30 декабря 2009 года федерального закона 363-ФЗ, вносящего поправки в 19 и 25 статьи закона [О персональных данныхk, воспринято большинством руководителей и специалистов однозначно - закон перенесен на один год. Именно такую формулировку приходится слышать на семинарах и конференциях, видеть в публикациях средств массовой информации. На самом деле, закон [О персональных данныхk действует с 2006 года и до настоящего времени. Перенесен лишь срок приведения в соответствие с требованиями закона автоматизированных информационных систем, обрабатывающих персональные данные граждан. Все остальные требования закона получение согласия субъекта на обработку персональных данных и передачу их третьим лицам, защита от несанкционированного доступа, о правах субъекта и обязанностях оператора действуют в неизменном виде уже три года. При этом все без исключения операторы увлечены активным обсуждением часто меняющихся требований по реализации технической защиты информационных систем, и мало кто обращает внимание на первую и самую главную часть системы защиты организационные мероприятия. О них и пойдет речь в данной статье..." Полная версия статьи размещена здесь.
защита информации безопасность персональные данные
Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену