Поделиться
Персональные данные на практике остаются беззащитными
Утечки персональных данных, огромное количество которых сосредоточено в информационных сетях российских компаний, приводят к серьезным финансовым и репутационным издержкам. В корне явления лежат несколько причин, не последняя из которых — практическое неисполнение законодательных нормативов в области защиты персональных данных.Денис Зенкин: Существует несколько постановлений, "уточняющих" и "раскрывающих" закон о персональных данных
Своим экспертными мнением с CNews поделился Денис Зенкин, директор по маркетингу компании Perimetrix http://perimetrix.ru/.
На сегодняшний день правительство выпустило несколько постановлений, "уточняющих" и "раскрывающих" закон о персональных данных. В их числе постановление №781 от 17 ноября 2008 года "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", постановление №687 от 15 сентября 2008 года "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", положение №512 от 6 июля 2008 года "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных". Рассмотрим вкратце последнее.
Казалось бы, приведенные в постановлении требования являются набором стандартных процедур для обработки любых конфиденциальных данных. И тем не менее совершенно очевидно, что документ направлен на защиту владельцев биометрических персональных данных, и не только их. В постановлении прописаны, повторюсь, достаточно банальные, но очень верные правила. Например, в пункте 9 говорится о том, что обработка биометрических персональных данных должна осуществляться только с письменного согласия их владельца. Если из этого утверждения выбросить слово "биометрических", фраза не потеряет смысла, а, наоборот, станет еще более важной. Любые персональные данные должны обрабатываться только с согласия их владельца.
И так оно и есть. Недавно, открывая в банке счет, я обратил внимание на отдельный листок, находившийся среди прочих документов. Подписывая его, я доверял кредитной организации обрабатывать свои персональные данные. Насколько я знаю, этот банк — один из немногих, кто ввел подобный документ в стандартный набор для клиентов. Но подвижки радуют. Надеюсь, что интернет-провайдеры тоже скоро начнут предлагать доверить им свои персональные данные, а не только требовать паспорт.
В пункте 4 того же документа сообщается о том, что необходимо исключить несанкционированный доступ к биометрическим данным и несанкционированную запись информации. Прекрасно! Заменяем "биометрическим" на "персональным" и берем на вооружение. В пункте 8 немало внимания уделено возможности отследить утечку информации. Все носители персональных данных подлежат учету. Более того, на каждом носителе должны содержаться метки, позволяющие узнать, кто записал информацию. Однако этого недостаточно, чтобы обнаружить, кто допустил утечку. Дополнительно, следовало бы записывать, и для кого предназначается носитель данных. Единственная возможность выйти на след инсайдера — это узнать в реестре оператора кому, когда и почему был передан носитель информации (пункт 5).
Нельзя не отметить и существующие лазейки. Так, пункт 4б достаточно очевидно указывает на то, что биометрические персональные данные граждан должны предоставляться в распоряжение спецслужб, а также заинтересованных государственных органов ("уполномоченных лиц"). Каким образом будет происходить идентификация и аутентификация уполномоченных лиц, остается неизвестным. В этой связи возникает вопрос о безопасности данных. Возникает вопрос и о том, будут ли процедуры достаточно хороши, чтобы, с одной стороны обеспечить доступ уполномоченных лиц, с другой — предотвратить несанкционированный доступ к информации. Можно предположить, что проблема будет решаться стандартными средствами, с помощью несимметричного шифрования и электронных подписей.
Короткая ссылка
