Минкомсвязи на следующей неделе на заседании Научно-технического совета обсудит концепцию защиты персональных данных абонентов, разрабатываемую с прошлого года.
Концепция устанавливает единые стандарты защиты персональных данных для операторов сотовой связи. Документ уже согласован с Федеральной службой безопасности (ФСБ) и Федеральной службой по техническому и экспортному контролю (ФСТЭК).
Заседание секции №1 НТС при Минкомсвязи “Научно-техническое и стратегическое развитие отрасли” состоится 21 апреля. На повестку дня вынесено два вопроса – модели угроз для информационных систем персональных данных отрасли и концепция защиты персональных данных в информационных системах персональных данных операторов связи.
Разработка концепции стала необходима после того, как в июле 2006 г. Государственная Дума РФ приняла в третьем чтении закон “О персональных данных”. Этот закон стал первой попыткой законотворцев классифицировать и законодательно защитить персональные данные граждан. В 2009 г. глава Минкомсвязи Игорь Щеголев поручил Федеральной службе по надзору в сфере связи, ИТ и массовых коммуникаций ввести новые стандарты в области защиты персональных данных.
ICU к разработке концепции защиты персональных данных в информационных системах операторов связи приступил еще в конце 2008 г. Был сформирован проект, разработано техническое задание, согласованное с Минкомсвязью России, ФСБ и ФСТЭК. Также был проведен конкурс по выбору головного исполнителя исследовательской работы, который выиграла компания ReignVox. В проекте участвовали игроки “большой тройки” – “Мобильные ТелеСистемы” (МТС), “ВымпелКом” и “Мегафон”. Как поясняла ранее пресс-секретарь МТС Ирина Осадчая, разработка единого отраслевого стандарта в области защиты персональных данных позволит конкретизировать требования положений закона “О персональных данных” применительно к телекоммуникационной отрасли, определить требования, которые бы оптимально отражали специфику мобильного бизнеса.
“Участники проекта провели анализ существующих систем защиты персональных данных, определили общие принципы технологий обработки персональных данных и подходы к их защите, сформировали предложения по совершенствованию существующего нормативно-правового поля, подготовили проекты соответствующих документов, – сказал в разговоре репортеру ComNews исполнительный директор ICU Андрей Скородумов. – В результате исследований достигается синергический эффект, когда операторы связи смогут воспользоваться отраслевым стандартом по защите персональных данных своих абонентов. Это обеспечивает существенную экономию средств, прозрачность регуляторных норм в этой области и позволяет избежать ошибок, возникающих при децентрализованной организации работ различными предприятиями отрасли”.
Согласно ФЗ, принятому в 2006 г., информационные системы персональных данных, созданные до дня вступления в силу закона, должны быть приведены в соответствие с требованиями закона не позднее 1 января 2010 г. При этом операторы персональных данных не раз заявляли о том, что не успеют привести инфосистемы в соответствие с новыми требованиями. Осенью 2009 г. депутаты Владислав Резник, Константин Шипунов, Владимир Груздев, Владимир Плигин и Андрей Морозов предложили Госдуме принять поправки в закон. В декабре 2009 г. Госдума приняла законопроект в третьем чтении. Документ устанавливает, что информационные системы персональных данных должны быть приведены в соответствие с требованиями закона “О персональных данных” на год позже – не позднее 1 января 2011 г. Кроме того, документ исключает обязательное требование использовать криптографические средства защиты персональных данных. Законопроект обязывает операторов персональных данных принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Эти требования к операторам прописаны и в концепции защиты персональных данных в инфосистемах персональных данных операторов связи. “Действия в отношении концепции будут определены по итогам заседания секции № 1 НТС Минкомсвязи, которое предварительно запланировано на 21 апреля 2010 г.”, – ответила на запрос ComNews пресс-служба Минкомсвязи.
“В ходе заседания НТС Минкомсвязи предполагается рассмотреть результаты исследований ICU, определить общие подходы к формированию нормативно-методической базы для выполнения требований законодательства РФ по защите персональных данных и создания отраслевого стандарта. Мы рассчитываем, что после одобрения концепции, включающей в себя методики проверки, модели угроз и проекты других документов, она приобретет нормативный статус”, – поясняет Андрей Скородумов.
Источник: ComNews