Федеральный закон "О персональных данных", который был принят шесть лет назад, предусматривает возможность ассоциаций, союзов операторов определять дополнительные угрозы безопасности персональных данных, актуальные при обработке в информационных системах.
Законом также велит, что проекты должны быть согласованы с Федеральной службой безопасности (ФСБ) и Федеральной службой по техническому и экспортному контролю (ФСТЭК). Правила определения этих угроз как раз и прописаны в постановлении правительства. Оно подписано премьер-министром Дмитрием Медведевым и опубликовано на сайте кабинета министров. Документ касается не только сотовых компаний, но и всех ассоциаций, союзов и иных объединений операторов, которые, так или иначе, работают с персональными данными.
Раньше проблемы подобного формата вообще не были регламентированы, утверждает аналитик рынка сотовой связи Эльдар Муртазин. "Большинство компаний работало по принципу "призрачной угрозы" и самостоятельно определялись как со списком угроз, так и с методами борьбы. Появление такого документа позволит на более профессиональном уровне заботиться о защите частной информации своих клиентов", - уверен эксперт "РГ".
В проекте решения, который операторы должны предоставить в ФСБ и ФСТЭК, необходимо будет указать виды деятельности, при которых существуют дополнительные угрозы персональным данным. В результате чего они могут быть уничтожены, изменены, блокированы, скопированы, распространены.
Кроме этого, решение должно содержать список дополнительных условий и факторов, создающих потенциальную опасность несанкционированного доступа к персональным данным и описание возможного вреда при реализации этих угроз. К документу также должна прилагаться пояснительная записка по всем моментам, создающим потенциальную или уже существующую опасность несанкционированного, в том числе случайного, доступа к персональным данным. Проект решения и прилагаемые к нему документы рассматриваются соответствующими органами в срок не более 30 рабочих дней. В результате утвержденные правила позволят операторам персональных данных более полно определять необходимые меры по их защите.