ФСБ разработала правила для работы с персональными данными

06.06.2014 23:18
Федеральная служба безопасности разработала правила для российских компаний при работе с персональными данными в цифровом виде, — об этом сообщает RBCdaily. Согласно документу, опубликованному на Едином портале раскрытия информации, компания должна иметь сертификат ФСБ на планируемые к использованию средства шифрования. Использование средств шифрования зависит от уровня угрозы безопасности данных, которые указаны в законе № 152-ФЗ "О персональных данных": этот уровень каждая организация оценивает самостоятельно.
 
При этом сертификат ФСБ смогут получить только технические средства, реализующие отечественные криптоалгоритмы. Последние не поддерживают ни Android, ни iOS. Стоимость отечественных алгоритмов не низкая, к примеру, установка "КриптоПРо CSP" на один компьютер обойдется в 1,8 тысяч рублей. По словам эксперта по безопасности крупной международной корпорации Алексея Лукацкого, не существует сертифицированных ФСБ средств криптографии для интернет-магазинов и систем кабельного телевидения. С этим мнением согласился и ведущий эксперт по инфобезопасности компании Infowatch Андрей Прозоров.
 
Проект приказа ФСБ предписывает, что съемный носитель с персональными данными пользователей нужно хранить в нерабочее время в специальном сейфе. Если же данные зашифрованы, то серверы с криптозащитой нужно на ночь опечатывать в зданиях с решетками на окнах: придется "оборудовать окна и двери... металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения". Но это требование невозможно выполнить тем интернет-компаниям (в том числе интернет-магазинам), что работают круглосуточно.
 
Приказ ФСБ дополняет федеральный закон № 152-ФЗ "О персональных данных" в соответствии с поправками, принятыми в 2011 году. В этом законе в статье 19 "Меры по обеспечению безопасности персональных данных при их обработке" разработку требовании к криптозащите поручили ФСБ. После прохождения независимой антикоррупционной экспертизы, проект приказ должен подписать директор ФСБ Александр Бортников. В силу он вступит, когда его утвердит Минюст.
 
Ранее в ФСБ подготовили проект подзаконного акта, который устанавливал виды информации, которую должны будут хранить интернет-компании о своих пользователях. Из документа следует, что нужна будет практически вся информация о действиях пользователя в сети: идентификатор пользователя (логин), все адреса электронной почты (как основной, так и той, что используется для переадресации), список всех его контактов, категории контактов (друзья, подписчики), количество и объем полученных и переданных пользователем сообщений, все изменения в аккаунте и попытки его удаления.