комплексные системы безопасностиООО "РСКБ" г. Липецк
Советская 36, оф.403
тел.   8 (4742) 25-08-51
факс 8 (4742) 77-59-13

Контакты

г. Липецк, Советская 36, оф.403

8 (4742) 25-08-51
8 (4742) 37-63-21 в любое время
факс 8 (4742) 77-59-13
email: lip@rskb48.ru
схема проезда
Нормативные документы по защите информации Защита информации. Аттестация объектов информатизации Проверки на полиграфе

Новости по информационной безопасности

 
 

Нормативные документы по защите персональных данных

Наименование документа

Номер документа, дата принятия

Название документа

Федеральный закон N 152 – ФЗ
от 27.07.2006г.
О персональных данных.

(в ред. Федеральных законов
от 25.11.2009 N 266-ФЗ, от 27.12.2009 N 363-ФЗ,
от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ,
от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ
от 04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ
от 05.04.2013 N 43-ФЗ)

Для удобства работы с законом, его текст со всеми внесенными изменениями читайте по приведенной у нас ссылке на сайт «Консультант плюс».
Для желающих ознакомиться с исходным текстом закона даём ссылку на сайт «Российской газеты». Все изменения к ФЗ 152 Вы можете также найти на сайте «Российской газеты», воспользовавшись перечнем законов, приведенных выше, в особенности посмотрите ФЗ 261, который внес кардинальные изменения в ФЗ 152.

Ввод в действие закона "О персональных данных"

28 декабря 2010 года президент России Дмитрий Медведев одобрил введение в действие закона 152-ФЗ "О персональных данных" в июле 2011 года. Федеральный закон 152-ФЗ вступил в силу 26 января 2007 года. Для приведения в соответствие закону информационных систем предприятий был предусмотрен срок до января 2010 года, затем этот срок был ещё раз продлен до января 2011 года. И вот ещё раз - до июля 2011-го. Нового срока переноса введения в действие 152-ФЗ после 01.07.2011г. не было.

Вывод:

01.07.2011 г. наступил час "Х". С каждым днём вопрос защиты персональных данных становится острее. Это означает, что операторы персональных данных, не сумевшие выполнить требования 152-ФЗ, с 1 июля 2011 года понесут соответствующую гражданскую, административную, дисциплинарную, а может быть даже и уголовную ответственность.

Ответственность за неисполнение 152-ФЗ

Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований. Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП). В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1-го года, аресте до 6-ти месяцев и лишении права занимать должность на срок до 5-ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК). При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.

Методические документы ФСТЭК России от 15.02.2008г.
Базовая модель угроз безопасности ПДн при их обработке в ИСПДн (с официального сайта ФСТЭК России)
Постановление Правительства РФ N 512
от 06.07.2008г.
Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных
Постановление Правительства РФ N 687
от 15.09.2008г.
Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
Постановление Правительства РФ N 211
от 21.03.2012г.
Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами
Постановление Правительства РФ N 1119
от 01.11.2012г.
Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных

Комментарий:

Данное постановление отменяет постановление №781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных", а значит руководящие документы, которые разработаны во исполнение постановления №781 теряют силу.
Такими документами являются:

  • Приказ ФСТЭК России №55, ФСБ России №86, Мининформсвязи Российской Федерации №20 от 13.02.2008 «Об утверждении Порядка классификации информационных систем персональных данных» (больше известен как приказ трёх).
  • Приказ ФСТЭК России от 05.02.2010 №58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14 февраля 2008 года (ФСТЭК России).
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" от 21 февраля 2008 года (ФСБ России).
  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных" от 21 февраля 2008 года (ФСБ России).
Ссылки на данные документы с нашего сайта убраны. Нет смысла руководствоваться в работе документами, утратившими силу. Надеемся, что во исполнение Постановления №1119 в этом году Регуляторами будут разработаны и утверждены необходимые для работы по защите персональных данных документы. А пока все находятся в состоянии неопределённости.

И вот, первые изменения: вместо Приказа №58 от 05.02.2010г., вступили в действие 2 Приказа ФСТЭК России №21 от 18.02.2013г. "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" и Приказ №17 от 11.02.2013г. "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Приказы определяют состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн. Документы являются ключевыми для обеспечения безопасности ПДн. Однако для полноценной работы по защите персональных данных Регуляторам необходимо еще разработать и утвердить ряд документов, взамен отмененных Постановлением №1119, в частности, ждем в первую очередь изменения Методики определения актуальных угроз ... в соотвествии с требованиями Приказов №17 и №21.
Удачи в изучении документов! Там есть над чем подумать... Для начала можете прочитать статью "Уровни защищенности персональных данных вместо классов" на нашем сайте.
Приказ ФСТЭК России N 17
от 11.02.2013г.
Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. (с официального сайта ФСТЭК России)
Комментарий:
Изучая 17-й приказ, пришлось пересмотреть не один десяток документов, на которые ссылается данный приказ, и все равно нет однозначного ответа по его применению. Мнения экспертов в области информационной безопасности тоже разделились.
Вот мнение эксперта Алексея Лукацкого, по применению 17-го приказа, для защиты информации в государственных информационных системах, пока на наш взгляд наиболее аргументированное, которое он высказал в блоге на сайте "DLP-Эксперт". Здесь же Вы можете узнать мнение других экспертов по применению 17-го приказа ФСТЭК.

К сожалению, четкого ответа на вопрос, какие системы должны защищаться по данному приказу, нет. Существуют разные позиции. Одни ссылаются на то, что государственной информационной системой является только та, которая создана на основании федерального закона, закона субъекта РФ или правового акта госоргана. Под это определение не попадает, например, информационная система бухгалтерии или отдела кадров госоргана, а именно там обрабатываются персональные данные госслужащих. Получается, что госорган в такой трактовке должен следовать 21-му приказу ФСТЭК. Другие эксперты считают, что все, что делается в госорганах, делается в силу закона; иная деятельность по определению незаконна. При такой позиции информационная система бухгалтерии или отдела кадров подпадает под действие 17-го приказа ФСТЭК.
По поводу приоритетности требований 17 и 21 приказа: если начинать искать разночтения в понимании термина «государственная информационная система», то на госорган сваливается сразу два приказа – 17-й и 21-й. Однако по используемым мерам они практически идентичны и отличаются только в концептуальных вопросах – сертификация средств защиты, оценка эффективности в форме аттестации, принцип экономической целесообразности, процедура исключения защитных мер из перечня базовых. Но в каждом из этих случаев больших выгод ухода от 17-го приказа к 21-му нет. Сертифицированные средства защиты в госорганах должны быть не только по 17-му приказу, но и по множеству других нормативных актов, вплоть до требований федерального законодательства. Следование принципу экономической целесообразности не сильно облегчает финансовое бремя – число систем, непопадающих под определение ГИС, невелико. Возможность исключить какие-то меры из базового набора могло бы помочь, если бы информационные системы госоргана, обрабатывающие разные виды информации ограниченного доступа, были физически изолированы друг от друга и между собой бы не пересекались. Но на практике это не так. Вот и получается, что госоргану, даже несмотря на наличие некоторых коллизий, лучше выполнять требования одного, 17-го приказа ФСТЭК.
Приказ ФСТЭК России N 21
от 18.02.2013г.
Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. (с официального сайта ФСТЭК России)
Для защиты персональных данных в государственных информационных системах необходимо руководствоваться Приказом ФСТЭК России №17 от 11.02.2013г., который зарегистрирован в МинЮсте 31.05.2013 г. и вступил в силу 01.09.2013 г.
Информационное сообщение ФСТЭК России N 240/22/2637
от 15 июля 2013 г.
По вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и приказа ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». (с официального сайта ФСТЭК России)
Смотрите также
анализ письма и "перевод" его на доступный язык Алексея Лукацкого
Приказ ФСБ России N 378
от 10.07.2014г.
Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности.

Вы можете задать вопрос нашим специалистам или сделать заказ на выполнение работ из перечня предоставляемых услуг, заполнив следующую форму:

Ваше имя:

Ваш адрес электронной почты (для ответа):

Ваше сообщение:

Новости России и мира