В полку интеграторов, занимающихся защитой персональных данных, прибыло.

Softline опубликовали пресс-релиз, с сообщением о выделении направления защиты персональных данных. Softline пополнили список компаний, которые не специализировались ранее на работах в сфере информационной безопасности, но не смотря на это, открыли данное направление.

Информационная система персональных данных на стороне. Выгодно?

система защиты персональных данныхПредставим себе типовую ситуацию:

Есть некое Предприятие, которое обрабатывает персональные данные своих клиентов в CRM, но сервер с установленным CRM располагается не на этом Предприятии, а на стороне некого Провайдера. Провайдер предоставляет услуги телефонии, интернету, а также за определенную плату размещает на своем сервере CRM. Получается, что CRM принадлежит Предприятию, но обслуживается Провайдером.

Кто в данном случае оператор персональных данных и кому решать задачу по защите персональных данных клиентов?

Задача очень распространенная, поэтому попробуем в ней разобраться.

Кто такой оператор персональных данных?

Оператор (по ФЗ №152 «О персональных данных») — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Исходя из определения, оператором в нашем случае будет Предприятие, а вот Провайдер хоть и проводит обработку персональных данных, но оператором не является, т.к. не определяет целей и содержания обработки.

Если бы в правовом поле защиты персональных данных существовал только 152-й закон, то складывалась бы ситуация, что лицо, имеющее полный доступ к персональным данным, формально не несло бы никакой ответственности за его обработку. Но 17 ноября 2007 года увидело свет Постановление правительства № 781, в пункте 10 которого мы находим неявное определение Уполномоченного лица:

Уполномоченное лицо — лицо, которому на основании договора оператор поручает обработку персональных данных.

Из описания взаимодействия между Оператором персональных данных и Уполномоченным лицом существует только сухая фраза:

«Существенным условием договора [между ними] является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе»

Иными словами, оператор персональных данных делит ответственность по защите персональных данных с уполномоченным лицом, в том числе и в части технической защиты.

Как показывает практика, очень большое число операторов персональных данных (а крупные, практически все) обладают информационными системами, которые обслуживаются сторонними компаниями. И использование «связки» Оператор — Уполномоченное лицо, при проведении работ по защите персональных данных, напрашивается само собой. Это выгодно операторам. Кстати говоря, активно продвигаемая тема Аутсорсинга системы защиты персональных данных зачастую базируется именно на указанной правовой базе.

Одним словом, в правовом поле существует инструмент по разделению ответственности за обработку персональных данных, и операторы могут его активно использовать.

К сожалению, здесь есть подводные камни, которые создают определенные сложности в использовании такого инструмента:

1) Отсутствует описание взаимодействия между оператором и уполномоченным лицом, ведь очевидно, что одного только договора недостаточно.
2) Отсутствуют явные требования к самому уполномоченному лицу.
3) Определение, Уполномоченное лицо, вопреки логике, не присутствует на уровне федерального законодательства. Мы его встречаем только в Постановлении правительства. Да еще и в неявном виде.

Остается только надеяться, что законодатель обратит внимание на этот вопрос, как и на сотни других. Хотя, по моей информации, 2010 год мы будем встречать без поправок в этой части.

«Исследование рынка информационной безопасности». Как все происходило?

Рынок ИБВ очередной раз Исследование рынка информационной безопасности от LETA вызвало бурную реакцию в СМИ и блогосфере. Мое желание дать свою критическую оценку этого документа сменилось желанием посмотреть, чем все это закончится, а потом описать, как развивались события.

Статья на РБК daily прошла относительно незаметно. Интересное началось с критической публикации на CNews, в которой положительную оценку документу дал лишь один участник рынка, а все остальные отозвались о документе негативно, или резко негативно.

Далее последовал более подробный разбор на блоге Алексея Лукацкого.

В дальнейшем, на протяжении недели свои рецензии дали еще 5 ресурсов (Корпоративные системы, CRN/RE, iBusiness, @ASTERA, Блог Igor) и отзывы были нейтральными, сдержанно-положительными, либо просто положительными.

20 июля на том же CNews появился официальный ответ компании LETA на предыдущую критическую статью. Очень удивительно, почему в ней не было сказано, что обсуждавшийся документ носил рабочий характер и спрашивать на него отзыв, со стороны CNews было не очень корректно. В любом случае официальный ответ, показался Алексею неубедительным, о чем был создан еще один пост.

На этом все стало стихать, т.к. в дальнейшем информацию об исследовании нашел только на БФМ.РУ.

P.S. Лично меня в се произошедшее очень порадовало, т.к. подобного рода «баталии» характерны для быстроразвивающихся отраслей на развитых рынках со свободной прессой (например, в Европе подобные реакции наблюдаются на аналитические документы в таких отраслях как фармацевтика, генная инженерия, IT и т.д.).