Rambler's Top100


Вы

посетитель






  • Главная
  •  / Защита персональных данных



Публикации по данной теме широко представлены в журнале "Информационная безопасность" №5 (сентябрь) 2009 г. Наша компания также приняла участие в дискуссии на страницах уважаемого издания. [Подробнee...]

Подготовка информационных систем операторов связи на соответствие требований ФЗ 152 о Защите Персональных Данных

В соответствии с порядком вступления в силу закона о персональных данных, с 01.01.2010 Роскомнадзор РФ наделяется полномочиями по контролю исполнения требований ФЗ №152 всеми операторами персональных данных (далее ПД), осуществляющих деятельность на территории Российской Федерации.

Операторы связи, осуществляющие сбор, хранение, обработку и передачу ПД в соответствии с требованиями закона о связи РФ являются операторами ПД.

В зависимости от класса ПД, обработка которых производится в информационной системе (ИС) оператора, определяются требования к защищенности ИС. Прохождение процедуры аттестации ИС оператора можно разделить на несколько основных этапов:
1. Проведение аудита ИС оператора, в процессе которого определяется класс информационной системы ПДн. «Как определить класс информационной системы ПДн?».



Порядок проведения классификации ИСПДн изложен в совместном приказе ФСТЭК/ФСБ/Минсвязи №55/86/20 от 13 февраля 2008 г. [Подробнee...]

[свернуть]


Ключевым с точки зрения классификации ИСПДн являются пп. 6, 7 и 14, которые можно определить следующей таблицей :



Категория ПДн, обрабатываемых в ИС Объем ПДн, обрабатываемых в ИС
В ИС одновременно обрабатываются ПДн менее чем 1000 субъектов ПДн или ПДн субъектов ПДн в пределах конкретной организации В ИС одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн или ПДн субъектов ПДн, работающих в отрасли экономики РФ, в органе госвласти, проживающих в пределах муниципального образования В ИС одновременно обрабатываются ПДн более чем 100 000 субъектов ПДн или ПДн субъектов ПДн в пределах субъекта РФ или РФ в целом
Обезличенные и (или) общедоступные ПДн K4 K4 K4
ПДн, позволяющие идентифицировать субъекта ПДн K3 K3 K2
ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию K3 K2 K1
ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни K1 K1 K1


2. Выработка руководящих документов оператора (методики, инструкции, приказы), регламентирующих организационные аспекты обработки и разграничивающих зоны ответственности исполнителей.
Посмотреть примерный перечень документов, можно здесь.



Перечень выполняемых мероприятий и работ Наименование документов
Разработка проекта и создание системы защиты персональных данных (СЗПДн)
Разработка перечня ПДн, подлежащих защите от НСД в ИСПДн Перечень ПДн, подлежащих защите от НСД в ИСПДн
Определение технических средств и систем, предполагаемых к ис­пользованию в ИСПДн, условия их расположения, общесистемных и прикладных программных средств. Технический паспорт
Схема расположения ИСПДн относительно границ контролируемой зоны
Топологическая схема ИСПДн с физическими, функциональными и технологическими связями
Определение режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах Описание технологического процесса обработки ПДн
Определение класса ИСПДн Акт классификации
Уточнение степени участия персонала в обработке ПДн, характер их взаимодействия между собой Матрица доступа
Определение угроз безопасности ПДн к конкретным условиям функционирования.
Разработка предложений по защите ПДн		 Частная модель угроз
Разработка технического проекта на СЗПДн
Установка и настройка сертифицированных средств защиты информации		 Технический проект
Эксплуатационная документация
Разработка организационно-распорядительная документации (порядок доступа в помещения со средствами обработки ПДн, порядок организации работ по классификации ИСПДн, действия администраторов и пользователей, учет носителей информации, регламент проведения разбирательств по фактам НСД, порядок контроля за соблюдением  условий  использования  средств   защиты информации, и т.д.) Проекты приказов, инструкций:
    • положение по организации и проведению работ по обеспечению безопасности ПДн при их обработке в ИСПДн;
    • требования по обеспечению безопасности ПДн при обработке в ИСПДн;
    • должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн;
    • рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.
Оценка соответствия ИСПДн требованиям безопасности информации
Оценка мероприятий по защите от НСД к ПДн при их обработке в ИСПДн:
    • управление доступом;
    • регистрацию и учет;
    • обеспечение целостности;
    • контроль отсутствия недекларированных возможностей;
    • антивирусную защиту;
    • обеспечение безопасного межсетевого взаимодействия ИСПДн;
    • анализ защищенности;
    • обнаружение вторжений.
Протоколы
Оценка мероприятий по защите информации от утечки по техническим каналам:
    • Проверка соответствия СВТ требованиям стандартов Российской Фе­дерации по электромагнитной совместимости, по безопасности и эргономи­ческим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (например, ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96,
      СанПиН 2.2.2.542-96);
    • нарушений безопасности функционирования ИСПДн и СЗПДн от угроз неатропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
    • Оценка размещения средств вычислительной техники с точки зрения защищенности ПДн от  утечки по оптическому каналу.
Протоколы
Подготовка отчетных документов Заключение по результатам испытаний, Аттестат соответствия


[свернуть]


3. Внедрение средств защиты информации (СЗИ) в соответствии с требованиями закона о ПД к определенному на первом этапе классу ПД, обработка которых проводится в ИС оператора

Деятельность по обеспечению защиты ПД должна обеспечиваться юридическими лицами, обладающими лицензиями на проведение работ в отношении защиты информации. Этот этап вызывает максимальное количество вопросов у операторов ПДн. Специалисты компании Элвис Плюс из Зеленограда подготовили перечень часто задаваемых вопросов и ответов, который любезно позволили опубликовать на нашем ресурсе:

К вопросу о переносе сроков реализации Федерального закона «О персональных данных» В последнее время в средствах массовой информации появились сообщения следующего содержания: «Минкомсвязи приняло решение о предоставлении до 2012 года отсрочки российским компаниям, деятельность которых подпадает под закон «О персональных данных», вступающий в силу с нового года» или «на совещании в Аппарате Правительства с участием АРБ и Сбербанка, было принято решение о переносе срока по ст.25 Федерального закона «О персональных данных» на один год», и т.п.



Начнём с того, что требования федерального закона не имеет право изменить никакое ведомство, в том числе Минкомсвязи. Закон может быть изменён только другим федеральным законом. В материалах, появившихся в средствах массовой информации, речь идёт всего лишь о подготовке предложений по переносу срока реализации ст. 25 ФЗ «О персональных данных».

Сегодня мы имеем следующую ситуацию.
В соответствии со ст. 25 ФЗ «О персональных данных»:
ч. 2. После дня вступления в силу настоящего Федерального закона (27.01.2007 г.) обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
ч. 3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 г.
Отсюда следует:
a. с 27 января 2007 г. обработка персональных данных, включенных в информационные системы персональных данных ВСЕМИ ОПЕРАТОРАМИ ДОЛЖНА осуществляться в соответствии с ФЗ «О персональных данных» (речь идёт о выполнении требований ФЗ, связанных с выполнением правовых принципов и условий обработки персональных данных).
b. Технические требования по обеспечению безопасности персональных данных (ч. 1 и 2 ст. 19 Закона) должны быть выполнены операторами не позднее 1 января 2010 г. Подробнее...

[свернуть]


Чем отличаются требования по защите АС класса 1Г и требования по защите персональных данных?



Требования по защите персональных данных в значительной мере базируются на требованиях, изложенных в ранее принятых нормативных документах ФСТЭК России по защите информации конфиденциального характера, к основным из которых относятся:

  • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). (приказ Гостехкомиссии России от 30.08.2002 г. № 282);
  • Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (Гостехкомиссия России, 1992 г.).

Вместе с тем РД «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждены заместителем директора ФСТЭК России 15 февраля 2008 г.) предъявляет более жёсткие требования по защите ИС ПДн, чем требования к АС класса 1Г.
Мероприятия по защите ПДн должны быть реализованы в рамках следующих подсистем СОБИ:

  • управления доступом;
  • регистрации и учёта;
  • обеспечения целостности;
  • криптографической защиты;
  • антивирусной защиты;
  • обнаружения вторжений;
  • защиты от утечки за счёт ПЭМИН (для ИС 1 и 2 классов).
Конкретный состав мероприятий по защите ПДн определяется в зависимости от класса ИС и результатов моделирования угроз.

[свернуть]


Что такое аттестация, а что - оценка соответствия? В чем разница?



Согласно ст. 2 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» оценка соответствия – это прямое или косвенное определение соблюдения требований, предъявляемых к объекту. В нашем случае объектом оценки будет являться ИС ПДн и её СОБИ.
В соответствии с РД ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» оценка соответствия ИС ПДн (как объекта информатизации) требованиям безопасности информации может осуществляться в следующей форме:

  • для ИС ПДн 1 и 2 классов – обязательная сертификация (аттестация) по требованиям безопасности информации;
  • для ИС ПДн 3 класса – декларирование соответствия требованиям безопасности информации;
  • для ИС ПДн 3 класса – оценка соответствия проводится по решению оператора.

Таким образом, аттестация – это одна из форм оценки соответствия ИС ПДн требованиям безопасности информации. В настоящее время общий порядок аттестации определён руководящим документом «Положением по аттестации объектов информатизации по требованиям безопасности информации» (утверждено председателем Гостехкомиссии России 25 ноября 1994 г.).
Под аттестацией объекта информатизации по требованиям безопасности информации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа - «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативных документов по защите информации, утвержденных ФСТЭК России.
Цель проведения аттестации (как и других методов оценки соответствия) – официальное подтверждение эффективности комплекса используемых на конкретном объекте информатизации мер и средств защиты информации.

[свернуть]


Какой объект подлежит оценке соответствия - объект информатизации или прикладная система, обрабатывающая ПДн?



Согласно действующим нормативным документам ФСТЭК России оценке соответствия подлежит объект информатизации, представляющий собой (по ГОСТ Р 51275-2006) совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров, отсюда следует, что оценке соответствия требованиям безопасности подлежит ИС ПДн, а не прикладная подсистема.
Это же определено и п. 3.11 РД «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных».

[свернуть]


Что такое сертификация? Речь идет о сертификации СЗИ или информационной системы, обрабатывающей ПДн?



1. Согласно ст. 2 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» сертификация – это форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров (а также требованиям, устанавливаемых уполномоченными органами государственной власти). В соответствии с п. 5 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781) средства защиты информации (СЗИ), применяемые в информационных системах обработки персональных данных, в должны проходить в установленном порядке процедуру оценки соответствия. Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» установлены два метода оценки соответствия: сертификация и декларирование соответствия. В настоящее время порядок сертификации СЗИ в системе сертификации ФСТЭК России установлен «Положением о сертификации средств защиты информации по требованиям безопасности информации» (утверждено приказом Гостехкомиссии России от 27 октября 1995 г. № 199). Процедура оценки соответствия методом декларирования ФСТЭК России будет разработана и введена в действие ориентировочно в конце 2008 г.
2. В РД по защите персональных данных речь идёт о:
  • оценке соответствия СЗИ (или путём сертификации или декларирования о соответствии);
  • сертификации системы защиты информационной системы, обрабатывающей ПДн, на соответствие заданию по безопасности или профилю защиты (в случае если ЗБ или ПЗ для ИС разрабатывались в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-2002 и соответствующих РД ФСТЭК России).

[свернуть]


Насколько дороже и сложнее построить систему защиты для класса К1, чем для класса К2?



Так как система защиты для ИС класса К1 должна реализовывать необходимые меры защиты ПДн в большем объёме (см. ответ по п. 9) (т.е. система защиты будет более сложной), то и её стоимость будет выше. Конкретную стоимость работ можно обосновать только после проведения обследования состояния защищённости ИС и моделирования угроз.


[свернуть]


Последовательность шагов оператора ПДн по выполнению требований Федерального закона 2006 г. № 152 «О персональных данных»?



Для выполнения требований Федерального закона 2006 г. № 152 «О персональных данных» оператор персональных данных должен выполнить следующие мероприятия:
1. провести инвентаризацию ИР, обрабатываемых в ИС, и определить перечень ПДн;
2. урегулировать правовые вопросы обработки (использования) ПДн (уточнение правовых оснований обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установление сроков обработки ПДн и др.);
3. оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомление об обработке ПДн;
4. разработать модель угроз (на основании результатов обследования ИС);
5. провести классификацию ИС с оформлением соответствующего акта;
6. получить (при необходимости) лицензию на деятельность по ТЗИ (согласно постановлению Правительства РФ 2006 г. № 504);
7. определить требования по защите ПДн при их обработке в ИС ПДн в соответствии с присвоенным классом и результатами моделирования;
8. осуществить проектирование СОБИ;
9. реализовать проект на создание СОБИ;
10. провести оценку соответствия ИС ПДн требованиям безопасности согласно присвоенному классу.
11. организовать эксплуатацию ИС в соответствии с требованиями безопасности и контроль соблюдения условий использования СЗИ.

[свернуть]


Каков общий порядок действий компании по организации соответствия своей правовой деятельности требованиям документов ФСТЭК по защите ПДн, правовые, юридические вопросы, в частности: порядок перезаключения договоров на использование ПДн сотрудников?



Руководящие документы ФСТЭК России распространяются только на вопросы технической защиты персональных данных при их автоматизированной обработке в ИСПДн.
Поэтому правовые вопросы порядка получения и использования персональных данных должны решаться в соответствии с Федеральным законом 2006 г. № 152 ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, другими нормативными правовыми актами по этому вопросу.

[свернуть]


Кто ответственен за разглашение переданных ПДн 3-ей стороне, Оператор ПДн или 3-я сторона, где и как это должно быть определено?



Как указано в ответе на 2-й вопрос, передача персональных данных третьим лицам согласно ч. 4 ст. 6 ФЗ «О персональных данных» может осуществляться только на основании договора, в котором в том числе должна быть предусмотрена ответственность за нарушение требований законодательства по обеспечению безопасности персональных данных. В этом случае ответственность за разглашение переданных 3-му лицу персональных данных будет нести это лицо.

[свернуть]


Каков порядок действий компании (организации) при проведении проверки уполномоченным органом на соответствие требованиям по защите ПДн, возможные варианты развития событий?



В настоящее время Уполномоченным органом по защите прав субъектов персональных данных, назначаемым в соответствии со ст. 23 ФЗ «О персональных данных», является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Россвязьинформкомнадзор), преобразованная из Федеральной службы по надзору в сфере связи и массовых коммуникаций в соответствии с указом Президента Российской Федерации от 3 декабря 2008 года № 1715.
На эту федеральную службу возлагается задача обеспечения контроля и надзора за соответствием обработки операторами персональных данных требованиям Федерального закона «О персональных данных».
Как правило, в настоящее время проверки операторов этим органом планируются и осуществляются на основании обращений (жалоб) субъектов персональных данных (граждан).
Цель контроля и надзора - проверка соответствия требованиям законодательства содержания персональных данных и способов их обработки целям их обработки. Уполномоченный орган по защите прав субъектов персональных данных имеет право (ст. 23 ФЗ «О персональных данных»):
  • запрашивать у операторов (физических или юридических лиц) информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
  • осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
  • требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
  • принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона;
  • обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
  • направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
  • направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
  • привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
Оператор обязан учитывать эти полномочия при проведении мероприятий по контролю и надзору, а также предоставлять информацию, необходимую для реализации надзорному органу предоставленных Законом полномочий. Рекомендуется обязательное участие в мероприятиях по контролю и надзору юридической службы компании.
Возможные последствия проверок вытекают из перечисленных полномочий и могут составлять:
  • получение предписаний на устранение выявленных нарушений;
  • наложение административных штрафов;
  • приостановление или прекращение обработки персональных данных, осуществляемой с нарушением требований Федерального закона;
  • принятие мер по приостановлению действия или аннулированию основных лицензий операторов;
  • возбуждение уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных.
Задача контроля и надзора за выполнением технических требований по обеспечению безопасности персональных данных возложена на федеральный орган исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
В настоящее время разрабатывается совместное положение Россвязьинформкомнадзора, ФСТЭК России и ФСБ России, определяющее порядок проведения комплексного контроля и надзора за деятельностью операторов, связанной с обработкой персональных данных.

[свернуть]


Обязательно ли использовать в ИСПДн общесистемное ПО, сертифицированное по требованиям ФСТЭК России?



В том случае, если встроенные средства безопасности общесистемного ПО заявлены в ИСПДн как средства защиты, такое ПО должно быть сертифицировано по требованиям ФСТЭК России.
Если же используется стороннее ПО (СЗИ), реализующее функции защиты ПДн, тогда такой сертификации общесистемного ПО не требуется.

[свернуть]


Каким образом должны удаляться персональные данные после их использования?



Здесь необходимо привести ссылку на ч. 4 ст. 21 ФЗ «О персональных данных», которая устанавливает: «В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган».
В настоящее время порядок уничтожения персональных данных никакими нормативными документами не регламентирован. С учётом этого мы рекомендуем факт уничтожения персональных данных оформлять внутренним актом оператора, в котором должно указываться какие персональные данные, когда, кем и каким образом были уничтожены. Кроме того, рекомендуем формальную процедуру уничтожения персональных данных прописать отдельным разделом в разрабатываемом оператором внутреннем Положении об обработке персональных данных.

[свернуть]


Что будет если класс выбран неверно и проверка надзорных органов это выявит? Есть ли отличие последствий для К1, К2, К3 классов?



  • В соответствии с п. 19 «Порядка проведения классификации информационных систем персональных данных» (совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20) класс информационной системы может быть пересмотрен по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе. Правом проведения контроля в этом случае обладают ФСТЭК России и ФСБ России. Если в ходе проверки будет установлено, что класс ИСПДн занижен, то скорее всего надзорный орган потребует приведения его в соответствие с реальным состоянием ИСПДн. Порядок проведения государственного контроля и надзора будет установлен специальным документом - «Порядком осуществления контроля и надзора за соблюдением требований законодательства РФ в области защиты персональных данных», который будет утверждаться совместным приказом Минкомсвязи, ФСБ России и ФСТЭК России. Ориентировочный срок принятия этого документа – 3-4 квартал 2009 г.
  • Никакой разницы для ИСПДн классов К1, К2, К3 нет.

[свернуть]


В соответствии со статьей 22 пункт 2 оператор ПДн не обязан уведомлять надзорные органы, следовательно он не подлежит проверкам?



Абсолютно неверное трактование этого положения. Согласно ст.23 ФЗ «О персональных данных» надзорный орган (Роскомнадзор) на основании жалоб и обращений граждан или юридических лиц имеет право проверять любого оператора ПДн независимо от того, уведомил ли он этот орган о своём намерении осуществлять обработку ПДн или нет.

[свернуть]


Верно ли, что если 3-е лицо, которому передаются ПДн, это госорганизация (например, поток ПДн из негосударственных ПФ в ПФРФ), то, в соответствии со статьей 22 и обязательными для госорганизации требованиями по защите информации, уведомлять надзорные органы не нужно?



Нет, не верно. Такой подход не предусматривается ФЗ «О персональных данных».

[свернуть]


Какие санкции и в соответствии с каким нормативным документом будут применяться, если требования закона не будут выполнены?




1. В этом случае наступает ответственность, предусмотренная ст. 24 ФЗ «О персональных данных» (гражданская, уголовная, административная, дисциплинарная и иная ответственность, предусмотренную законодательством Российской Федерации).
2. Полномочия Роскомназора по привлечению операторов к ответственности установлены ст. 23 «О персональных данных» (от привлечения к административной ответственности (ст. 13.11, 19.5, 19.7 и др. КоАП) до направления в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных (ст. 137 и др. УК РФ)
Реальную практику примененния санкций можно посмотреть в отчете Роскомнадзора о деятельности за 2008 год на официальном сайте регулятора (можно попасть через наш раздел "Полезные ссылки"). За редким исключением, это в основном предупреждения и штрафы. Однако, ситуация может кардинально измениться с 1 января 2010 года, когда Роскомнадзор станет приостанавливать или останавливать обработку ПДн операторами, которые не выполнили требования Закона, что по своей сути будет означать остановку деятельности организации.

[свернуть]


Компания «Сетевые решения» предлагает своим клиентам, а так же операторам связи, эксплуатирующих АСР не нашего производства воспользоваться услугами по подготовке своих информационных систем по вышеописанному сценарию. Наша компания предлагает проведение первого этапа – аудита ИС, по фиксированной стоимости, специалистами, прошедшими обучение в аккредитованном при в ФСТЭК учебном центре на базе ЦБИ (Центра Безопасности Информации) и имеющими сертификаты центра.

Результатом аудита (этап 1) является экспертное заключение нашей компании в отношении степени готовности ИС к соответствию закона о ПД, а также рекомендации по приведению ИС к соответствию указанным требованиям.

Стоимость реализации 2-го и 3-го этапов, приведенных в данном документе, зависят от сложности ИС оператора. Экспертное заключение нашей компании так же содержит оценки затрат по развертыванию необходимых средств защиты данных, а кроме того, включает рекомендации о возможности проведения обезличивания ПД в условиях оператора, что способствует минимизации затрат.

Ниже приведены документы, которые регламентируют отношения между субъектами ПДн, операторами ПДн и регуляторами (государством) в РФ. На сегодня это наиболее полный перечень всех нормативных документов, существующих в области защиты ПДн, а так же в части сертификации и аттестации, связанной с 152 ФЗ о ПДн.

РД СВТ – защита о НСД. Показатели защищенности. 6 классов защищенности СВТ.

13 октября ФСТЭК наконец-то опубликовал выписки из документов ДСП (Для Служебного Пользования): Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (выписка)

Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (выписка)

Российское законодательство по персональным данным

Федеральный закон Российской Федерации 30 декабря 2001 г. № 197-ФЗ
Трудовой кодекс Российской Федерации (14 глава)
Федеральный закон от 19 декабря 2005 г. N 160-ФЗ
О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ
О персональных данных
Федеральный закон Российской Федерации от 3 декабря 2008 г. N 242-ФЗ
O государственной геномной регистрации в Российской Федерации
Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781
Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687
Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
Постановление от 6 июля 2008 г. № 512
 Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных
Постановление Правительства Российской Федерации 2 июня 2008 г. № 419
О федеральной службе по надзору в сфере связи и массовых коммуникаций
Распоряжение Правительства РФ от 15 августа 2007 1055-р
Указ Президента Российской Федерации от 30 мая 2005 г. N 609
Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела
Приказ от 13 февраля 2008 года N 55/86/20
Об утверждении Порядка проведения классификации информационных систем персональных данных
Приказ Россвязькомнадзора №08 от 17.07.2008
Об утверждении образца формы уведомления об обработке персональных данных
Методические материалы ФСБ
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" от 21 февраля 2008 года
Методические материалы ФСБ
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных" от 21 февраля 2008 года


В начало страницы