Реализация положений Закона: что должно быть сделано
Нормы Закона о персональных данных затрагивают деятельность различных подразделений банка, каждое из которых должно обеспечить его выполнение в сфере своей ответственности.
Обычно говорят о двух полярных сценариях защиты персональных данных. Первый - глобальная переделка всех информационных систем персональных данных, а второй - формальный, заключающийся лишь в выпуске внутренних нормативных документов без внесения каких-либо изменений в сами системы.
Полагаем, что оптимальным является промежуточный вариант, заключающийся в сохранении действующей IT-инфраструктуры банка с изменением некоторых ее элементов и добавлением новых, необходимых для обеспечения соответствия законодательству.
В юридической области банкам в первую очередь требуется оформить новые договоры с сотрудниками и клиентами. Должны быть проработаны вопросы взаимодействия с контрагентами и дочерними компаниями.
Подразделения защиты информации также должны подготовить необходимую нормативную базу и обеспечить работу средств контроля доступа, входящих в систему информационной безопасности, управление криптографическими ключами и др.
Однако основной объем работ по выполнению требований Закона приходится на модификацию существующих и внедрение более современных автоматизированных систем, включая разработку нового технологического процесса, учитывающего специфику бизнеса, выбор средств автоматизации, разработку и внедрение новых решений.
В соответствие с требованиями Закона о персональных данных должны быть приведены как новые, так и уже существующие информационные системы, обрабатывающие персональные данные <1>. По Закону каждой информационной системе, в которой хранятся и обрабатываются персональные данные, необходимо присвоить класс, в соответствии с которым будет обеспечиваться защита этих данных. Данный процесс является очень трудоемким, затратным и длительным.
--------------------------------
<1> По данным Роскомнадзора, в стране насчитывается более 46 тыс. различных информационных систем персональных данных. Ни для кого не секрет, что время от времени часть баз данных компрометируется, а в продаже появляются данные, содержащие различные сведения о клиентах.
Примечание. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Согласно Постановлению Правительства РФ от 17.11.2007 N 781 в информационных системах персональных данных должны быть обеспечены:
- предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- постоянный контроль за обеспечением уровня защищенности персональных данных.
Возникает вопрос: каким способом этого лучше всего добиться?