№ 3 май-июнь 2008 г. Тема номера: КОММЕРЧЕСКАЯ ТАЙНА И ПЕРСОНАЛЬНЫЕ ДАННЫЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
		ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В СУБД ORACLE. ЗАКОН И ПРАКТИКА А. Л. Додохов, А. Г. Сабанов, к. т. н. ЗАО «Аладдин Р. Д.»

В работе рассмотрены некоторые наиболее существенные требования законодательства по защите персональных данных (ПД). Представлены общие подходы к защите баз данных под управлением СУБД. Показан пример защиты ПД с учетом требований законодательства для платформы Oracle – одной из наиболее широко применяемых в средних и крупных информационных системах.

1. Закон о защите персональных данных не выполняется. Почему?

Для начала вспомним некоторые положения Федерального закона № 152 «О персональных данных».

Согласно ст. 3 закона «оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных». Таким образом, мы приходим к выводу, от которого и будем отталкиваться: практически все юридические лица РФ являются потенциальными операторами ПД.

В законе также прямо указано, что под обработкой ПД понимается практически все, что с ними можно сделать, начиная с получения данных и заканчивая их обезличиванием и уничтожением: «обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных».

Кроме этого, в требованиях закона содержатся некоторые, мягко говоря, непривычные для российских организаций процедуры, такие как:

• получение согласия граждан на обработку их персональных данных, в том числе (когда это необходимо) на передачу третьим лицам;
• определение состава ПД для каждой информационной системы, обрабатывающей персональные данные (ИСПД);
• классификация ИСПД по объему данных и характеристикам безопасности в зависимости от оценки возможного ущерба субъектам данных;
• подготовка и организация регулярных уведомлений об обработке персональных данных в уполномоченный орган.

Заметим, что практики выполнения таковых требований у подавляющей части российских организаций нет. Нет и установившихся правил взаимных доверительных отношений: например, исключительно редко оформляется договор оферты на согласие использовать личные данные граждан. А ведь такой подход уже достаточно давно и успешно практикуется в развитых странах. Однако даже если бы договор четко определял, какие именно виды обработки персональных данных разрешаются конкретной организации и кто конкретно несет ответственность за нарушение оговоренных видов обработки и компрометацию личных данных, немногие граждане решились бы на его заключение. В условиях расплывчатости формулировок законодательства очевидно, что даже при согласии гражданина на обработку его персональных данных, в любом случае он оказался бы в полной зависимости от того, насколько разумно и добросовестно будет трактовать нормы закона оператор.

Стоит добавить, что по некоторым данным упомянутая классификация и соответствующие каждому классу требования, согласно постановлению Правительства № 781, уже разработаны ФСТЭК России, ФСБ Российской Федерации и Мининформсвязи России и в ближайшее время будут опубликованы. Этот долгожданный во многом документ прольет свет на эти и другие аспекты практического применения ФЗ-152. Но основные надежды, которые с ним связаны, заключаются в получении практических инструкций по реализации требований закона для государственных организаций, обрабатывающих ПД граждан.

По большому счету, коммерческие структуры давно уже защищают критичные для бизнеса данные (например, реестр акционеров и другую коммерческую информацию), в том числе и ПД. Однако немногие организации при этом выполняют требования федерального закона о коммерческой тайне.

В свою очередь, государственные организации ждут конкретных указаний и методик по построению систем защиты в зависимости от класса информационной системы и характера данных, обрабатываемых данной системой. Хочется надеяться, что в ближайшее время все необходимые документы будут доработаны и опубликованы, и это даст толчок к началу реальной работы по защите персональных данных.

< ... >

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru