Закон "О персональных данных" (№152-ФЗ 2006 года) поставил перед большинством российских компаний сложнейшую задачу. Серьезность государства в этом вопросе очевидна: сформирована нормативная база, определена ответственность, контролирующие органы получили соответствующие полномочия. Если компания нарушает установленные законом требования, и ее деятельность может быть приостановлена регулирующим органом. И, судя по действиям Роскомнадзора, массовые проверки уже не за горами. Так, в 2010 году количество проверок в полтора раза увеличено по сравнению с 2009 годом. Количество внеплановых проверок трудно спрогнозировать, но Российский опыт показывает, что именно на внеплановых проверках чиновники удовлетворяют свои личные интересы.
Закон №152-ФЗ несет в себе еще одну угрозу – дает дополнительный инструмент недобросовестным конкурентам и недобросовестным сотрудникам. Например, компания получает письмо от гражданина, данные которого ранее получила и включила в свои базы, с просьбой предоставить ему информацию о том, как ведется обработка его ПДн. Что им движет – непонятно. Возможно, искренний интерес, возможно, природная любовь к конфликтам, а может и недобрый умысел. В любом случае он имеет право на такое обращение в соответствии со статьей 14, частью 4 закона №152-ФЗ. Но компания не готова к тому, чтобы дать исчерпывающий ответ в отведенное время. Она не предоставляет затребованную информацию или предоставляет ее не полностью. Клиент, не получив в указанные в законе сроки ответ, обращается с жалобой в Роскомнадзор. Тот направляет в органы прокуратуры запрос о возбуждении уголовного дела в связи с нарушением прав субъекта персональных данных. Возможная ответственность: по КоАП ст.5.39 или по УК ст.140. И вот у вас под дверью прокурорская проверка.
Невыполнение требований закона несет угрозу не просто информационным ресурсам или интересам отдельных клиентов – возникает угроза для нормального функционирования самого бизнеса, следовательно, все важнейшие решения по проекту "Построение защиты персональных данных" должны приниматься на уровне высшего менеджмента организации.
В настоящее время большинство компаний не готово к внедрению таких достаточно сложных организационно-технических мероприятий. Более того, к этому не готово и само государство. Даже в крупных городах отсутствует развитая сеть подготовки специалистов. Система приема заявлений на выдачу лицензий, проведение аттестации помещений не рассчитана на такое количество организаций, которые подпадают под эти требования. Ряд нормативных документов отсутствует в открытом опубликовании. Однако государственные структуры это не сильно беспокоит. Они считают, что с 2006 года у организаций было достаточно времени на проведение всех мероприятий. Поэтому на снижения каких-либо требований при проведении проверок рассчитывать не приходится.
Ответственность при невыполнении требований закона, увы, достаточно серьезна, чтобы, по крайней мере, принять ее к сведению.
КоАП Статья 5.39 – отказ в предоставлении гражданину информации. Ответственность – штраф до 1 000 руб., но также это может явиться основанием для ответственности по статье 3.12 (Административное приостановление деятельности).
КоАП Статья 13.11 – нарушение установленного законом порядка сбора, хранения, использования или распространения иформации о гражданах. Ответственность – штраф до 1 000 руб.
КоАП Статья 13.12 – нарушение правил защиты данных. Ответственность – штраф от 10 000 до 20 000 руб. с конфискацией несертифицированных средств защиты информации или административное приостановление деятельности на срок до 90 суток.
УК Статья 137 – нарушение неприкосновенности частной жизни. Ответственность может доходить до штрафа в размере ЗП осужденного за 18 месяцев или ареста на 6 месяцев.
УК Статья 140 – отказ в предоставлении гражданину информации. Ответственность – штраф до заработной платы за 18 месяцев либо лишение права занимать ряд должностей или заниматься определенной деятельностью.
УК Статья 171 – незаконное предпринимательство. Ответственность – до 5 лет лишения свободы со штрафом в размере ЗП осужденного за 6 месяцев.
Для большинства организаций областями хранения и обработки персональных данных являются:

• Система бухгалтерского учета;
• Система расчета заработной платы;
• Система контроля доступа;
• Система учета кадровой информации.

К организациям, обрабатывающим персональные данные физических лиц не связанных с ними трудовыми отношениями (медицинские учреждения, страховые компании, операторы связи и телекоммуникационных услуг, банковские учреждения, централизованные бухгалтерии) предъявляются особые требования по организации защиты данных физических лиц – клиентов организации.
Построение системы защиты персональных данных – это сложный многоуровневый проект, включающий в себя:

• информационное обследование на предмет выявления информационных систем, в которых происходит обработка персональных данных, а так же оценка их защищенности;
• разработка пакета нормативных документов организации, регламентирующих внутренние процедуры при обработке персональных данных с целью их защиты от вероятных угроз в целом и в отдельных информационных системах как при автоматизированной, так и при неавтоматизированной обработке;
• разработка и согласование решений по внедрению сертифицированных программных и технических средств;
• подготовка организации к аттестации, а так же прохождение самой аттестации построенной системы защиты персональных данных.

Результатом работы организации по защите персональных данных является:

• комплект организационно распорядительной документации по защите персональных данных;
• совокупность сертифицированных программно – технических средств, отвечающим требованиям безопасности обработки и хранения персональных данных;
• наличие обученного и подготовленного персонала;
• готовность организации к прохождению процедур аттестации по защите персональных данных.

Указанные работы могут быть выполнены организацией, как самостоятельно, так и с привлечением сторонних консалтинговых компаний. Для выполнения работ по защите конфиденциальной информации необходимо наличие соответствующей лицензии Федеральной службы по техническому и экспортному контролю.
Одним из ключевых моментов по организации защиты персональных данных является классификация информационной системы. Именно от этой процедуры во многом зависит сколько денег потом нужно будет вкладывать в построение системы защиты. Вот небольшой перечень нормативных актов, определяющих эту процедуру:

• Приказ ФСТЭК, ФСБ, Министерства ИТиС 2008 года № 55/86/20 Об утверждении Порядка проведения классификации информационных систем персональных данных;
• Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного Постановлением Правительства РФ 2007 года № 781;
• Методические рекомендации ФСБ России 2008 года № 149/54-144;
• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 15 февраля 2008 года;
• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14 февраля 2008 года;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 15 февраля 2008 года.
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 года.