13 апреля 2010 года в Санкт-Петербургской торгово-промышленной палате прошел Совместный семинар «Организация системы защиты персональных данных» Санкт-Петербургского клуба ИТ-директоров “SPb CIO Club” и Комитета по ИТ торгово-промышленной палаты СПб.
Участники семинара обсудили закон о защите персональных данных и изменения, которые были внесены в нормативные документы за прошедшие полгода. Особое внимание было уделено основным техническим требованиям, должностным инструкциям сотрудников, а также определению класса информационной системы компании.
Юрий Шойдин, член правления российского союза ИТ-директоров (СоДИТ) и член консультативного Совета при Роскомнадзоре, директор по ИТ ГК «Интарсия» и Сергей Опарин, ведущий специалист по информационной безопасности ООО «СБС-инфо», кандидат экономических наук дали практические рекомендации по организации защиты персональных данных. Как отметил Юрий, новая версия регламента, который выпустил Роскомнадзором, отличается от предыдущего прежде всего тем, что включает в себя расширенный закрытый перечень оснований для плановой и внеплановой проверок. Кроме того в приказе от ФСТЭК решением от 5 марта отменены два пункта, которые связаны с рекомендациями по обеспечению безопасности ПД и проведению мероприятий по их организации и техническому обеспечению. Также указом от ФСТЭК отменена обязательная аттестация ИСПД и обозначено, что средства защиты могут проходить не только обязательную сертификацию, но также применять добровольную сертификацию и декларацию соответствия. Юрий Шойдин отметил, что для большинства организаций областями хранения и обработки персональных данных являются система бухгалтерского учёта, система расчёта заработной платы, а также система контроля доступа и система учёта кадровой информации.
Сергей Опарин указал на то, что все приказы, относящиеся к защите персональных данных, разрабатываются лично или под руководством ответственного за обеспечение безопасности персональных данных и доводятся до исполнителей «под роспись». В содержание должностных инструкций работников, допущенных к обработке ПДн должно быть добавлено требование о знании основных государственных и внутренних нормативных документов в области защиты персональных данных, обязанность соблюдать конфиденциальность обрабатываемых персональных данных, обязанность о немедленном информировании непосредственных начальников при выявлении утечки или угрозы утечки персональных данных, ответственность за нарушение конфиденциальности обработки персональных данных.
Помимо этого Сергей обозначил разницу между видами ответственности, которая наступает при нарушениях со стороны ответственного за обеспечение безопасности персональных данных. Так, за допуск к обработке персональных данных работников, не соответствующих требованиям инструкции, наступает административная ответственность, а вот за нарушение конфиденциальности персональных данных, вызванное несоблюдением должностных обязанностей, – уголовная.
Далее Дмитрий Савченко, специалист по сертификации систем управления ООО «Ти эМ эЛ» рассказал об оценке соответствия ИСПД относительно стандарта ISO/IEC 27001:2005. Дмитрий отвечая на вопрос: «Почему широко распространенная модель СМК на базе требований ИСО 9001 не смогли решить существующие проблемы в области ИБ?», отметил несколько причин. Во-первых, перед данной системой не ставились такие задачи, во-вторых, при создании СМК изначально ограничивалась рамками ISO 9001, в-третьих, на это оказало влияние отсутствие глубокого понимания первым лицом организации возможностей управленческих технологий в сфере ИБ и др.
Высказывая личные мнения по обсуждаемой теме, многие участники заявили, что данный закон не учитывает многие факторы: бюджет компании, формы собственности и др. и поэтому далек от существующей реальности. А также создает множество трудностей для небольших организаций, ведь для его обеспечения требуется создание специального отдела и назначение ответственного за реализацию всех требований. Докладчики же объяснили, что затраты на обеспечение закона о защите персональных данных приемлемы.
По окончанию семинара участникам было предложено заполнить показатели в бланке: категорию персональных данных Хпд, объем персональных данных Хнпд, характеристики системы, наличие подключений к сетям связи и др. По итогам заполненных документов был произведен анализ ошибок.