3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19настоящего Федерального закона;
Комментарий:
1) Очередной «ляп» с точки зрения стиля изложения: «К таким мерам могут, в частности, относиться: … применение правовых, организационных и технических мер по обеспечению безопасности персональных данных …». Т.е. «к мерам могут относиться … применение мер»?!
Правовых мер», согласно действующим нормативно-методическим документам в области защиты информации в Российской Федерации, нет. Разработка нормативных и правовых актов, призванных регулировать отношения в области защиты, всегда относилась к организационным мерам.
С точки зрения логики не может быть «организационных мер». Любые меры, принимаемые для достижения любой цели, содержат организационную компоненту.
Из перечня мер, применяемых для обеспечения безопасности персональных данных, исключены программные меры, что достаточно странно, когда речь идет об обработке персональных данных с использованием средств автоматизации.
С точки зрения логики и здравого смысла меры, которые могут применяться для обеспечения безопасности чего бы то ни было, следовало бы поделить на: а) организационно-правовые; б) организационно-технические; в) организационно-программные.
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
Комментарий:
Стоит обратить внимание, что оценка вреда субъекту предусмотрена только в случае нарушения настоящего закона.
Отнесение «оценки вреда» к мерам необходимым и, главное, достаточным, для «обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами» представляется странным. Оценка возможно причиненного вреда осуществляется для выбора мер защиты по критерию эффективность-стоимость. Когда в качестве критерия оценки устанавливается соответствие-несоответствие закону, оценка вреда абсолютно излишня.
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Комментарий:
Ознакомиться с персональными данными, обрабатываемыми в информационной системе, и причинить им вред или использовать в противоправных целях могут не только работники, непосредственно осуществляющие их обработку, но и многие другие. Например, руководитель организации или ее структурного подразделения, не осуществляющий непосредственно обработку персональных данных, с точки зрения модели угроз гораздо опаснее, чем любой из его подчиненных. Поэтому руководители должны в первую очередь знакомиться с положениями законодательства и проходить обучение. Так что формулировка комментируемого подпункта представляется довольно ущербной.
Требования не могут быть применены к защите. Требования можно предъявлять к объекту или субъекту, но не к виду деятельности. «Требования к защите» - это «идол рынка», т.е. оборот обыденной речи, что недопустимо для законодательного акта, да еще федерального уровня.
2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Комментарий:
1) Требования не реализуются, а выполняются!
Требование к оператору, «осуществляющему сбор персональных данных с использованием информационно-телекоммуникационных сетей» опубликовать политику в отношении обработки персональных данных, а, тем более, сведения об их защите является грубым нарушением логики, здравого смысла и многих руководящих документов. Опубликование политики безопасности снижает её эффективность (иногда до нуля).
3) Персональные данные, как известно, отнесены Президентом РФ (на тот момент В.В.Путиным) к конфиденциальной информации. Следовательно, политика в отношении обработки конфиденциальной информации, и, тем более, сведения о принимаемых мерах по защите этой информации, должны быть отнесены к категории «конфиденциальная информация» (служебная информация ограниченного доступа). Т.е. данный пункт требует от оператора опубликовывать конфиденциальную информацию! Т.о. оператор, выполняя требования этого пункта, будет нарушать требования других законодательных актов в сфере защиты информации и саму логику защиты.
3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.
4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
Комментарий:
В статье, озаглавленной «Меры по обеспечению …», – обязанности оператора!
1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Комментарий: