Попов К. Г. Борисова Е. А.

Вопрос, касающийся защиты персональных данных субъ­ектов в сети Интернет, на сегодняшний день является акту­альным. В первую очередь это связано с невысоким уровнем грамотности населения в вопросах безопасности собственных персональных данных.

Так, субъекты персональных данных при регистрации на интернет-сайтах (социальных сетях, интернет-магазинах и др.) предоставляют свои персональные данные, включающие в себя фамилию, имя, отчество, электронный почтовый адрес, номер мобильного телефона, адрес местожительства и другую личную информацию, battle of dazar'alor boost brings a lot of new stuff to boost your power so consider buying a carry! The loot can’t be called anything else but amazing! That makes the Battle of Dazar’alor process of carrying the run and boosting overall way more breathtaking!

Безусловно, необходимо добиваться улучшения законо­дательства, приближения его к реальной жизни и условиям ведения бизнеса, но если закон принят - его надо выполнять. Советом Федерации в июле 2015 года были одобрены поправ­ки к ФЗ-152, а Президент подписал данную редакцию, год про­ходившую согласование в самых разных инстанциях. Однако эти изменения пока что практически не затронули электрон­ный бизнес с точки зрения использования персональных дан­ных. Следовательно, для выполнения закона необходимо было выполнить ряд мероприятий.

Первый шаг. Владельцу интернет-магазина надо прове­сти инвентаризацию своих информационных систем и выя­вить те, которые реально обрабатывают персональные данные.

Оператору, выявившему все информационные системы персональных данных (ИСПДн) в своем ИТ-хозяйстве, придет­ся сделать и второй шаг - проанализировать и уточнить их архитектуру. При этом для снижения затрат на обеспечение безопасности крайне желательным представляется разделе­ние веб-сервера, сервера приложений и сервера баз данных на самостоятельные сегменты с использованием сертифициро­ванных межсетевых экранов, ну и, естественно, экранирование всей структуры на границе с Сетью. В ходе предварительной классификации ИСПДн на этом этапе необходимо тщатель­но проанализировать категории обрабатываемых в каждом сегменте персональных данных (составить перечни), условия функционирования ИСПДн и имеющиеся в наличии средства защиты информации.

Третий шаг. Интернет-магазину придется заняться нормот­ворчеством - созданием процедур и описывающих их локальных нормативных актов, которые в новой редакции ФЗ-152 от 27 июля 2О0б г. определены как меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Феде­ральным законом. К таковым закон относит назначение опера­тором ответственного за организацию обработки персональных данных и издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предот­вращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Четвертый шаг. Необходимо разработать частную мо­дель угроз информационным системам персональных данных и документально оформить классификацию ИСПДн, обычно в виде акта, составленного специально назначенной комисси­ей и утвержденного руководителем оператора.

Пятый шаг. Исходя из модели угроз, класса и условий функционирования ИСПДн, надо спроектировать и постро­ить подсистему безопасности ИСПДн.

Целесообразно использовать системы защиты произво­дителей, имеющих максимально полную линейку сертифи­цированных продуктов, которые нейтрализуют угрозы, как определенные регуляторами в качестве типовых, так и не яв­ляющиеся таковыми, но представляющие реальную опасность для оператора, занимающегося электронной коммерцией. (в таблице приведен пример одного из возможных наборов средств защиты.)

Шестой шаг. Сформулировать и направить уведомления в Роскомнадзор об обработке персональных данных.

10 ноября 2015 года в Москве состоялась VI Международная конференция «Защита персональных данных». Самой обсужда­емой темой Конференции стал вступивший в силу 1 сентября 2015 года закон № 242 (далее - Закон), предусматривающий хра­нение персональных данных россиян на территории РФ.

Согласно требованиям вышеуказанного закона, начиная с 1 сентября 2016 года интернет-сервисы, которые имеют дело с персональными данными россиян, должны обеспечить воз­можность обработки таких сведений с использованием баз данных, находящихся в России. Данное правило коснется, пре­жде всего, интернет-магазинов, социальных сетей, служб бро­нирования билетов, гостиниц и другие сервисов. Причем речь идет как о российских компаниях, которые хранят данные за рубежом, так и об иностранных организациях, которые имеют дело с клиентами из России.

Многие граждане зарегистрированы в социальных сетях, покупают товары и получают услуги через Интернет. Значи­тельная часть таких сервисов находится за границей, преимуще­ственно в США и Европе. В результате данные кредитных карт, паспортные данные, переписка, в том числе по e-mail, может аккумулироваться спецслужбам соответствующих государств.

Но большинство россиян выступают против хранения их персональных данных за границей, и желают, чтобы они оста­вались на территории России. В противном случае, такая ин­формация в результате хакерской атаки на иностранные спец­службы может попасть в руки мошенников.

Главная задача Закона - обеспечить безопасность пер­сональных данных россиян. Тем не менее, документ лишь говорит, что оператор обязан обеспечить обработку такой информации на территории России. Закон не содержит слов «только» или «исключительно» и не запрещает параллельно продолжать обрабатывать персональные данные на зарубеж­ных серверах. Также документ не предписывает удалить уже находящуюся на них информацию.

Также важной темой Конференции стало сотрудничество в сфере защиты персональных данных на международном уров­не. Представитель Совета Европы Мария Микейледу призвала выработать универсальные нормы и развивать взаимодействие между государствами для модернизации 108 Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 28 января 1981 г.).

Таким образом, учитывая не снижающуюся актуальность вопросов экономической эффективности обеспечения инфор­мационной безопасности предприятия стоит отметить, что Закон грозит как проблемами для малого IT-бизнеса, так и трудностями для граждан из-за возможных блокировок, ухуд­шением безопасности данных, уходом иностранных компа­ний. Хотя, если говорить об иностранных интернет-сервисах, то транснациональные гиганты типа Google, Facebook, Twitter и eBay - скорее всего, приспособятся, а остальные будут рабо­тать как раньше. Некоторые неудобства могут быть причине­ны российским пользователям. Тем не менее, для экономики страны от подобных изоляционистских мер могут быть и не­которые плюсы, описанные в данной статье.