10 окт. 2009 г.


Пояснительная записка
к проекту Федерального закона
«О внесении изменения в статью 25 Федерального закона
"О персональных данных"»

В соответствии с положениями Федерального закона "О персональных данных"», в частности, статьей 25 «Заключительные положения», - «информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года».
Информационные системы персональных данных организациями начали создаваться в начале 90-х годов, так как организации обязаны обрабатывать персональные данные физических лиц во исполнение норм законодательства. Требования по обработке и предоставлению сведений о персональных данных в государственные органы предусмотрены также другими законами Российской Федерации (ФЗ «Об акционерных обществах», о конкуренции – сведения об аффилированных лицах, ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» - сведения о руководителях, Налоговый кодекс РФ – действия юридического лица как налогового агента по налогу на доходы физических лиц, ФЗ «О судебных приставах»- любая необходимая информация, объяснения и справки).
Следует учесть, что настоящий Федеральный закон вступил в силу 26 января 2007 года, но лишь в феврале – мае 2008 г. утверждены подзаконные акты, регламентирующие порядок окончательной классификации и защиты систем персональных данных (ПРИКАЗ ФСТЭК, ФСБ и Министерства ИТ и связи РФ «Об утверждении порядка проведения классификации информационных систем персональных данных», «Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных», «Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных», «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», «Рекомендации по обеспечению безопасности персональных данных при их обработке, в информационных системах персональных данных»).
Информационные системы персональных данных во многих организациях и предприятиях, использующих типовые интегрированные ИТ-решения (а именно, Oracle E-Business Suite, 1C-Предприятие, SAP, Галактика и др.), объединены с другими функциональными модулями (Договоры, Сбыт, Финансы, Снабжение, Бухгалтерия, Производство и др.) в единое целое, в связи с чем, согласно требованиям ФСТЭК, необходимо защищать весь интегрированный комплекс в целом. Для крупных промышленных предприятий данная процедура является весьма масштабной задачей, длительной по времени и финансово затратной.
На сегодняшний день на рынке не представлены сертифицированные ФСТЭК технические продукты, обеспечивающие комплексную защиту вышеуказанных интегрированных систем в полном объеме, что требует индивидуального подхода в сертификации технических продуктов для обеспечении защиты персональных данных отдельной организации. Финансирование этих мероприятий осуществляется за счет собственных средств организаций.
Последствия мирового финансового кризиса негативно отразились на доходах коммерческих организаций, особенно градообразующих, несущих кроме производственной и значительную социальную нагрузку. В сложившихся условиях необходимость значительных финансовых затрат наряду с недостаточностью средств не позволит, прежде всего, крупным промышленным предприятиям, завершить осуществление мероприятий, предусмотренных федеральным законом «О персональных данных», в срок до 1 января 2010 года.
Законопроектом предлагается продлить срок введения вышеуказанных требований на два года – до 1 января 2012 года. Продление этого срока позволит завершить работу по приведению информационных систем персональных данных, созданных до дня вступления в силу Федерального закона «О персональных данных» в соответствие с требованиями настоящего Федерального закона.

Комментариев нет:

Отправить комментарий