ФСБ разработала правила для работы с персональными данными

Федеральная служба безопасности разработала правила для российских компаний при работе с персональными данными в цифровом виде, — об этом сообщает RBCdaily. Согласно документу,опубликованному на Едином портале раскрытия информации, компания должна иметь сертификат ФСБ на планируемые к использованию средства шифрования. Использование средств шифрования зависит от уровня угрозы безопасности данных, которые указаны в законе № 152-ФЗ «О персональных данных»: этот уровень каждая организация оценивает самостоятельно.

При этом сертификат ФСБ смогут получить только технические средства, реализующие отечественные криптоалгоритмы. Последние не поддерживают ни Android, ни iOS. Стоимость отечественных алгоритмов не низкая, к примеру, установка «КриптоПРо CSP» на один компьютер обойдется в 1,8 тысяч рублей. По словам эксперта по безопасности крупной международной корпорации Алексея Лукацкого, не существует сертифицированных ФСБ средств криптографии для интернет-магазинов и систем кабельного телевидения. С этим мнением согласился и ведущий эксперт по инфобезопасности компании Infowatch Андрей Прозоров.

Проект приказа ФСБ предписывает, что съемный носитель с персональными данными пользователей нужно хранить в нерабочее время в специальном сейфе. Если же данные зашифрованы, то серверы с криптозащитой нужно на ночь опечатывать в зданиях с решетками на окнах: придется «оборудовать окна и двери… металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения». Но это требование невозможно выполнить тем интернет-компаниям (в том числе интернет-магазинам), что работают круглосуточно.

Приказ ФСБ дополняет федеральный закон № 152-ФЗ «О персональных данных» в соответствии с поправками, принятыми в 2011 году. В этом законе в статье 19 «Меры по обеспечению безопасности персональных данных при их обработке» разработку требовании к криптозащите поручили ФСБ. После прохождения независимой антикоррупционной экспертизы, проект приказ должен подписать директор ФСБ Александр Бортников. В силу он вступит, когда его утвердит Минюст.

Ранее в ФСБ подготовили проект подзаконного акта, который устанавливал виды информации, которую должны будут хранить интернет-компании о своих пользователях. Из документа следует, что нужна будет практически вся информация о действиях пользователя в сети: идентификатор пользователя (логин), все адреса электронной почты (как основной, так и той, что используется для переадресации), список всех его контактов, категории контактов (друзья, подписчики), количество и объем полученных и переданных пользователем сообщений, все изменения в аккаунте и попытки его удаления.

Источник: http://www.cableman.ru/content/fsb-razrabotala-pravila-dlya-raboty-s-personalnymi-dannymi