Вступить в Клуб Войти
Введите логин
Введите пароль
напомнить пароль

Об организации системы защиты персональных данных поговорили “SPb CIO Club”

25.04.2010
13 апреля 2010 года в Санкт-Петербургской торгово-промышленной палате прошел Совместный семинар «Организация системы защиты персональных данных» Санкт-Петербургского клуба ИТ-директоров “SPb CIO Club” и Комитета по ИТ торгово-промышленной палаты СПб.

Участники семинара обсудили закон о защите персональных данных и изменения, которые были внесены в нормативные документы за прошедшие полгода. Особое внимание было уделено основным техническим требованиям, должностным инструкциям сотрудников, а также определению класса информационной системы компании.

Юрий Шойдин, член правления российского союза ИТ-директоров (СоДИТ) и член консультативного Совета при Роскомнадзоре, директор по ИТ ГК «Интарсия» и  Сергей Опарин, ведущий специалист по информационной безопасности ООО «СБС-инфо», кандидат экономических наук дали практические рекомендации по организации защиты персональных данных. Как отметил Юрий, новая версия регламента, который выпустил Роскомнадзором, отличается от предыдущего прежде всего тем, что включает в себя расширенный закрытый перечень оснований для плановой и внеплановой проверок. Кроме того в приказе от ФСТЭК решением от 5 марта отменены два пункта, которые связаны с рекомендациями по обеспечению безопасности ПД и проведению мероприятий по их организации и техническому обеспечению. Также указом от ФСТЭК отменена обязательная аттестация ИСПД и обозначено, что средства защиты могут проходить не только обязательную сертификацию, но также применять добровольную сертификацию и декларацию соответствия. Юрий Шойдин отметил, что для большинства организаций областями хранения и обработки персональных данных являются система бухгалтерского учёта, система расчёта заработной платы, а также система контроля доступа и система учёта кадровой информации.

Сергей Опарин указал на то, что все приказы, относящиеся к защите персональных данных, разрабатываются лично или под руководством ответственного за обеспечение безопасности персональных данных и доводятся до исполнителей «под роспись». В содержание должностных инструкций работников, допущенных к обработке ПДн должно быть добавлено требование о знании основных государственных и внутренних нормативных документов в области защиты персональных данных, обязанность соблюдать конфиденциальность обрабатываемых персональных данных, обязанность о немедленном информировании непосредственных начальников при выявлении утечки или угрозы утечки персональных данных, ответственность за нарушение конфиденциальности обработки персональных данных.

Помимо этого Сергей обозначил разницу между видами ответственности, которая наступает при нарушениях со стороны ответственного за обеспечение безопасности персональных данных. Так, за допуск к обработке персональных данных работников, не соответствующих требованиям инструкции, наступает административная ответственность, а вот за нарушение конфиденциальности персональных данных, вызванное несоблюдением должностных обязанностей, – уголовная.

Далее Дмитрий Савченко, специалист по сертификации систем управления ООО «Ти эМ эЛ»  рассказал об оценке соответствия ИСПД относительно стандарта ISO/IEC 27001:2005. Дмитрий отвечая на вопрос: «Почему широко распространенная модель СМК на базе требований ИСО 9001 не смогли решить существующие проблемы в области ИБ?», отметил несколько причин. Во-первых, перед данной системой не ставились такие задачи, во-вторых, при создании СМК изначально ограничивалась рамками ISO 9001, в-третьих, на это оказало влияние отсутствие глубокого понимания первым лицом организации возможностей управленческих технологий в сфере ИБ и др.

Высказывая личные мнения по обсуждаемой теме, многие участники заявили, что данный закон не учитывает многие факторы: бюджет компании, формы собственности и др. и поэтому далек от существующей реальности. А также создает множество трудностей для небольших организаций, ведь для его обеспечения требуется создание специального отдела и назначение ответственного за реализацию всех требований. Докладчики же объяснили, что затраты на обеспечение закона о защите персональных данных приемлемы.

По окончанию семинара участникам было предложено заполнить показатели в бланке: категорию персональных данных Хпд, объем персональных данных Хнпд, характеристики системы, наличие подключений к сетям связи и др. По итогам заполненных документов был произведен анализ ошибок.






Некоторые отзывы участников:

***
Содержание заседания в полной мере отразилось на форме. Ряд замечаний и пояснений был интересен и полезен.
Александр Громов,
Московская страховая компания (С-Пб филиал)

***
В целом заседание интересное и полезное. Отдельное спасибо за бланки документов. Юрий Шойдин очень хорошо разбирается в вопросе, говорит живо и на понятном языке. Очень интересно.
Иван Козлов, 
Стадко

***
Мероприятие в целом было полезным для меня. Из положительных моментов могу выделить: доступность изложения материала (сжато и без «воды»), ценность предлагаемых вариантов решений, практическая подготовленность докладчиков.

Александр Богданов, 
Банк "Советский"

***
Семинар понравился, тема очень актуальна. Хотелось бы пообщаться по техническим вопросам защиты персональных данных.
Игорь Васянович, 
 "С.Е.Д.-СПб"

***
Очень полезный семинар. Тщательно подготовлен и хорошо проведён. На семинаре я не только получил полезную информацию, но и существенно повысил запас терпения, которое так необходимо для того, чтобы смириться с тем, что я, к сожалению, не в силах изменить.

Сергей Ружинский, 
ВНИТИ

О клубе:


Санкт-Петербургский клуб ИТ-директоров предприятий Северо-Западного региона “SPb CIO Club” основан в ноябре 2004 года. Участниками клуба являются более 330 руководителей ИТ-служб известных предприятий города. Приглашаем всех заинтересованных профессионалов вступить в клуб и принять в его работе активное участие. Деятельность клуба поддерживается Партнерами, которыми являются компании Лаборатория Касперского, Microsoft, APC, 1С, Диасофт, AT Consulting, Инфосистемы Джет, Неофлекс, Тринити, Legal SoftWave™, Элтел, Digia,  PC-WARE, Event House.
Контакты: www.spbcioclub.ru

Другие публикации