Госдума задумалась о персональных данных
© ComNews
23.11.2009
Госдума приняла в первом чтении проект поправок в закон "О персональных данных". Согласно изменениям, срок приведения информационных систем в соответствие с законом "О персональных данных" переносится на один год – до 1 января 2011 г.
Как ранее сообщал ComNews, Госдума приняла 8 июля 2006 г. в третьем чтении ФЗ-152 "О персональных данных". Согласно документу, информационные системы персональных данных, созданные до дня вступления в силу закона, должны быть приведены в соответствие с требованиями закона не позднее 1 января 2010 г. При этом операторы персональных данных не раз заявляли о том, что не успеют привести информационные системы в соответствие с новыми требованиями.
Депутаты Владислав Резник, Константин Шипунов, Владимир Груздев, Владимир Плигин и Андрей Морозов предложили Госдуме принять поправки в закон. "Коммерческие организации отмечают существенное увеличение затрат на приведение информационных систем в соответствие с требованиями по безопасности персональных данных и особенно затрат на поддержание таких систем, - гласит пояснительная записка к документу. - Более того, выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований к информационным системам персональных данных потребует резкого увеличения расходов из бюджетов всех уровней, которые не планировались и сложно осуществимы в условиях кризиса. Следствием указанных проблем очевидно станет массовое несоответствие хозяйствующих субъектов требованиям федерального закона. При том, что с начала 2010 г. государственные регуляторы будут вправе осуществлять проверки исполнения требований закона в отношении информационных систем персональных данных и привлекать к ответственности нарушителей".
Принятый Госдумой в первом чтении законопроект устанавливает, что информационные системы персональных данных должны быть приведены в соответствие с требованиями закона "О персональных данных" на год позже - не позднее 1 января 2011 г. Кроме того, документ исключает обязательное требование использовать криптографические средства защиты персональных данных. Законопроект обязывает операторов персональных данных принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Ранее Министерство связи и массовых коммуникаций высказывалось против переноса сроков вступления в силу части 3 статьи 25 закона "О персональных данных". "Оценка целесообразности законопроекта, внесенного депутатами, которым предлагается перенести на год срок вступления в силу части 3 статьи 25, будет дана после того, как в установленные законом сроки указанный документ поступит в министерство на рассмотрение", - заявила в пятницу репортеру ComNews пресс-служба Минкомсвязи.
Владислав Резник полагает, что перенос сроков вступления в силу требований к информсистемам операторов все же не решит всех проблем, связанных с законом "О персональных данных". По его мнению, закон нуждается в серьезной доработке с целью обеспечения баланса интересов субъектов и операторов персональных данных. Именно такая концепция содержится в другом законопроекте по корректировке закона "О персональных данных", ранее внесенного депутатом на рассмотрение Госдумы. "Практика реализации федерального закона позволяет сделать вывод о недостижении цели его принятия и создает предпосылки для уточнения его отдельных положений", - гласит пояснительная записка к законопроекту.
Поправки, предложенные Владиславом Резником, не первая попытка различных ведомств изменить закон "О персональных данных". С лета этого года Минкомсвязи получило от Роскомнадзора, различных ассоциаций и операторов связи более 160 предложений по изменению закона. Именно летом регулятор впервые заявил, что переноса срока вступления в силу требований закона не будет. На основе поступивших предложений ведомство сформировало 15 законодательных инициатив, которые в скором времени будут внесены в правительство. Кроме того, Минкомсвязи согласовывает с Минфином и Минэкономразвития России законопроект "О внесении изменений в федеральный закон "О персональных данных" (см. новость ComNews от 23 октября 2009 г.), который изменяет положения закона, затрагивающие вопросы архивного дела, электронной торговли и трансграничной передачи данных.
Директор по взаимодействию с органами госвласти ОАО "Комстар-Объединенные ТелеСистемы" Арсений Брыкин соглашается, что закон "О персональных данных" необходимо изменить. "Действительно, сегодня все компании поставлены в довольно жесткие временные рамки по приведению своих информсистем в соответствие закону "О персональных данных", - отмечает Арсений Брыкин. - Тем более, что в ситуации глобального кризиса многие операторы максимально оптимизируют собственные материальные и временные затраты, а при построении систем защиты персональных данных возникает множество вопросов, на которые нормативные документы не дают пока однозначного ответа. Кроме того, сегодня компаний, имеющих лицензии на право аудита, явно недостаточно, чтобы в срок до начала следующего года обработать весь спектр операторов персональных данных. В этой ситуации, возможно, самым оптимальным вариантом будет перенос сроков действия закона или определение периода, в который меры Роскомнадзора в отношении соблюдения требований ФЗ №152 будут носить предупредительный характер".
неужели не успели придворную контору организовать, которая будет продавать сертифицированные устройства?
Законы необходимо соблюдать. Отсрочкиисполнения требований данного Законабудут только усугублять ситуацию, связаннуюс гарантированной государством охраной персональных данных каждого гражданина.А операторам связи можно напомнить, что помимотехнических мероприятий, требующих действительно существенных финансовых средств,необходимо использовать и комплексы организационных мероприятий, направленных на соблюдение сотрудниками телекоммуникационных компаний требований ФЗ № 152. При желании и наличии у руководителей не только "финансово-административной" жилки, но и элементарного понимания необходимости выполнения принимаемых законов мы действительно сможем общими усилиями решить и эту задачу.С уважениемИ.В.С.
152-ФЗ как законодательный акт полное говно. Исполнять его нет никакой возможности. Простите за прямоту.
Авторы инструкций, вместо того, что бы взять уже готовые банковские стандарты, соответствующие международным нормам, придумали какую-то фигню. Которая и защищает слабо и её выполнени требует сумасшедших затрат...
Прошло не мало времени. Еще тогда надо было заниматься этими вопросами.
Первые нормативные документы, регламентирующие требования по защитным мероприятиям разработаны в мае 2008 года (задним числом приняты серединой февраля, но до мая их никто не видел), и с грифом "ДСП", т.е. по сугубо публичному вопросу даже и не были опубликованы. Документы по криптозащите выпущены позже, более проработаны и открыты - и к ним как раз меньше вопросов. А требования ФСТЭК - трудночитаемые, внутренне несогласованные документы, с требованиями, надерганными из разных источников (местами явно из руководств по защите гостайны) и трудноосуществимые на практике.
"Принятый Госдумой в первом чтении законопроект устанавливает, что информационные системы персональных данных должны быть приведены в соответствие с требованиями закона "О персональных данных" на год позже - не позднее 1 января 2011 г. "Где такое прописано?
в законопроектекстати, второе чтение уже прошло16.12.2009 ожидается третье
Скажите пожалуйста "кто в теме", обычным работодателям нужно ли проводить эту самую классификацию "со всеми вытекающими" своих бухгалтерских баз данных или нет? У меня ООО и 12 сотрудников в штате. Читал закон, пробовал осилить техрегламенты ФСТЭК - ясности это не принесло, сам ФСТЭК шлет изучать их сайт. Буду безмерно благодарен.А закон да - полное Г. Такое ощущение что он создан для того что бы "нагибать" операторов, а не защищать ПДн.
если ваша организация не занимается сбором ПДн (вы же вполне можете обезличить данные сотрудников), тогда вы попадаете под 4 категорию и можете (исключительно на ваше усмотрение) попросту провести оценку соответствия. если же по обрабатываемым в организации данным субъекта можно идентифицировать, вы попадаете под 3 категорию, это тоже не страшно, но придется покопаться в основополагающих документах, как то: сам закон 152-ФЗ, постановление прав-ва РФ №781 от 17.11.07, прик. ФСТЭК, ФСБ №55/86/20 от 13.02.08 и пр.в принципе, обеспечивают информационную безопасность все уважающие себя организации, а данный закон требует оформить бумажки определенным образом. довольных данными требованиями в зону моей видимости еще не попадалось.
Как их можно обезличить, если для подачи сведений в ПФР и налоговую нужно указать кучу идентифицирующих данных (адрес прописики, паспорт, ИНН, № стр. свид. и т.д. и т.п.)? В фЕстественно данные защищаются, другой вопрос в том что слабым звеном в защите любой информации по прежнему остается человек, а не компьютер. Можно обвешаться фаерволами, установить бронированные двери и жаллюзи, а один недовольный уволенных бухгалтер может слить инфомацию конкурентам просто из мести.
например, поручить обработку ПДн сертифицированной аутсорсинговой компании. в любом случае, даже если оставите себе третью категорию, все равно она у вас простая, не распределенка, так что все той же оценкой соответствия все можно и урегулировать, т.к. в вашем случае оператор сам определяет уровень защиты ИСПДн, согласно предложеных вам ранее документов.хотя, не отрицаю, можете включить параноидальную движуху и защищать свои данные вплоть до овчарок с автоматами, в крайности впадать вам тут никто не мешает, но все-таки пока от вас требуют попросту оформить бумажки и использовать в работе сертифицированное ПО, никто не отрицает, что самый высокий процент в рисках занимает именно персонал - от случайных ошибок до инсайда... однако вопрос о необходимости тырить ПДн рядовых сотрудников рядового мелкого ООО остается открытым.
Абсолютно согласен с тем кто сказал? что закон этот полная "фигня" Даже не сам закон, Защищать ПДн нужно, сколько его исполнение, бред, на 687 все забили (в части определения автоматизированной системы) а молятся лишь на 152, получается распечатываешь договора на ПК, ВСЕ автоматизированная система, (так ответили в РОСКОМНАДЗОРЕ) у меня таких 8, свихнись сколько сколько доков сделать нужно, если дали примерный преречнь в правительстве области из 25 документов, причем Часня модель угроз 36 стр. не сложно подсчитть сколько выходит с учтом что , акты, модели, тех. паспорт нужно для каждой ИСПДн отдельно делать, 8*3+22=56.Какие КГБ-ки переписали свои инструкции в этот закон
Уже перенесли закон о ПД до 1 июля 2011 года