На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 2 март–апрель 2010 г.
Тема номера:
СОЗДАНИЕ КОРПОРАТИВНОЙ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

152-ФЗ «О персональных данных» – закон, построенный на понятиях

Г. А. Атаманов, к. ф. н.


Предыдущая статьяСледующая статья

Каждый россиянин знает, что разрешить серьезную проблему можно двумя способами: по закону и «по понятиям». Эти две традиции до недавнего прошлого существовали, не пересекаясь, и в какой-то мере даже были антагонистами. Но 152-ФЗ успешно их синтезировал. Пока, правда, формально. Сознательно или нет разработчики закона в заглавии ст. 3 вместо «термины и определения» употребили словосочетание «основные понятия». Что это: свидетельство недостаточного знания методологии законотворческой деятельности или демонстративное пренебрежение ею?
 

< ... >
 

Тем не менее закон есть закон. И каким бы он ни был, его необходимо выполнять. Исходя из этого, перед всеми стоит задача: разработать пакет документов, позволяющий выполнить требования закона в условиях сокращения бюджета, разрастания и углубления кризиса. Задача не из простых. Методологическая база, на основании которой обычно разрабатываются подобные документы, в данном случае, как известно, оставляет желать лучшего: два постановления Правительства (от 17.11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах ПДн» и от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»), противоречащие друг другу и здравому смыслу, а также «четырехкнижие» ФСТЭК России, запутывающее даже поднаторевших в вопросах защиты информации специалистов. Документам ФСТЭК России, видимо вследствие их методологической несостоятельности, изначально был даже присвоен гриф (пометка) ДСП. И только после того, когда все привыкли к смысловому и терминологическому эквилибру, свойственному этим «документам», гриф с них сняли, правда, предварительно немного их подкорректировав.

При более детальном изучении проблемы выяснилось, что методологические недостатки этих документов становятся достоинствами при практической реализации их требований. Многозначность и размытость формулировок позволяет трактовать их в наиболее выгодном для себя смысле. Возможности применения метода экспертных оценок при проведении классификации ИСПДн и построении частной модели угроз ПДн являются «подарками судьбы».

В результате на основе перечисленных выше подзаконных актов и нормативно-методических документов ФСТЭК России нами были разработаны «Рекомендации по организации и проведению работ по обеспечению безопасности ПДн при их обработке в информационных системах», основу которых составляют формы документов для заполнения ответственными за обеспечение безопасности ПДн в подразделениях. Формы составлены так, чтобы даже не очень осведомленный в законодательных актах и технологиях обеспечения безопасности ПДн человек мог их легко заполнить. Основной упор сделан на организационные и программные меры защиты.

< ... >
 


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2018 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100