1 января 2011 года вступает в силу федеральный закон №152-ФЗ «О персональных данных»*. Одной из причин его разработки послужил скачок киберпреступности, в результате которого участились кражи конфиденциальных данных с их последующей перепродажей. Второй причиной стал выход России на международные экономические рынки и возникшая в связи с этим необходимость устранить торговые барьеры, приведя внутреннее законодательство в соответствие с европейской практикой защиты персональных данных.
Как написано в статье второй, «целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну». Этой цели служит, в частности, 15 статья данного закона, согласно которой и коммерческие, и политические организации должны получать предварительное согласие гражданина на рассылку рекламы. Стоит обратить внимание, что «обработка персональных данных признается осуществляемой без предварительного согласия, … если оператор не докажет, что такое согласие было получено». Нетрудно догадаться, что эта статья нацелена против распространителей спама.
Надо отметить, что, согласно п. 4 статьи девятой, обработка персональных данных осуществляется только с письменного согласия, которое должно включать:
ФИО;
адрес и паспортные данные субъекта;
информацию о потенциальном операторе;
детальный перечень запрашиваемых данных;
цель получения данных;
способ обработки, а также срок действия согласия.
Кроме того, оператор ПД должен уведомлять Роскомнадзор о намерении осуществлять обработку данных и – при необходимости – доказывать получение согласия.
При «честных» деловых контактах, будь то прием на работу или коммерческая сделка, подобная бюрократическая процедура не вызовет особых затруднений – просто еще один бланк, который необходимо заполнить. А вот для спамеров практически невозможно выполнить эту норму – так что любая рассылка спама, будь то рекламная листовка или электронное письмо, будет явным нарушением закона.
Статья 19 данного закона призывает организации принять «необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий».
Обеспечение безопасности не только персональных, но и любых конфиденциальных данных стало насущной проблемой всего мира – и Россия здесь не исключение. Согласно докладу международной аудиторской компании «Потеря данных: статистический анализ KPMG International», за последние четыре года в США, Великобритании и континентальной Европе произошло свыше тысячи крупных утечек информации, в результате которых были утрачены личные данные 280 миллионов человек. Эти инциденты затронули не только все сектора экономики, но и государственные организации (на них пришлось 19% случаев).
Аналогичное исследование по России опубликовала компания InfoWatch: в 2008 году произошло свыше 250 крупных инцидентов в сфере информационной безопасности, затронувших интересы более 100 миллионов человек (причем, в соответствии с европейской статистикой, каждый пятый инцидент зафиксирован в госучреждениях). Через Интернет было утрачено 29% данных, а через мобильные носители – 25%.
В свете подобных происшествий предприятиям необходимо разработать комплекс мер по охране собственных информационных систем, уровень защищенности которых, согласно новому закону, должны проверить Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСБ), выдав соответствующие сертификаты.
Эксперты ФСТЭК осуществляют проверку по определенному уровню контроля безопасности, подтверждающему, что данный программный продукт не содержит недекларированных возможностей и может использоваться для защиты конфиденциальной информации (четвертый уровень контроля) и информации, составляющей государственную тайну (от третьего до первого уровней контроля).
Управляющий директор «Лаборатории Касперского» в России и странах Закавказья Сергей Земков отметил: «Лаборатория Касперского», реагируя на современные информационные угрозы, недавно выпустила обновление корпоративной линейки антивирусных продуктов Kaspersky Open Space Security Release 2. Благодаря гибким настройкам и широким возможностям автоматизации процесса они подходят как для предприятий малого и среднего бизнеса, так и для крупных корпораций с разветвленной сетью, обеспечивая не только защиту от вредоносного ПО, но и помогая управлять IT-инфраструктурой.
Конечно, основную нагрузку по защите компаний от вредоносных программ несут на себе антивирусы. Продукты из семейства KOSS Release 2 оснащены новым антивирусным ядром, работающим быстрее и требующим меньше системных ресурсов. Кроме того, наши решения отличаются новейшими механизмами эвристического анализа, с помощью которого можно обнаружить и блокировать даже неизвестные прежде вирусы. Также стоит отметить, что все продукты из серии KOSS R2 не только совместимы с новейшими операционными системами, такими как Microsoft Windows 7 и Windows Server 2008, но и полностью соответствуют требованиям ФЗ № 152, что подтверждается необходимыми сертификатами ФСТЭК России и ФСБ России».
* Основные понятия, используемые в Федеральном законе №152
1) персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.