Главная / Защита персональных данных / Законы и регламенты

   Нормативно-правовая база

      

Все основные документы, регулирующие деятельность операторов персональных данных, представлены ниже. Для более полного понимания как нашего подхода к решениям, так и самих нормативно-правовых актов, рекомендуем сначала ознакомиться с понятием Класса информационной системы, так как именно это может изменить стоимость приведение бизнеса в соответствие с требованиями федерального закона «152-ФЗ» в разы.

Распоряжением регуляторов все информационные системы разделены на 4 Класса, к каждому из которых применяются требования по технической и административной защите различной степени жесткости (а стало быть, и стоимости). Класс информационной системы зависит от количества субъектов персональных данных и характера хранящейся о них информации.

Классификатор информационных систем

Категория персональных данныхВ информационной системе одновременно обрабатываются данные
Менее чем 1000 субъектов ПДн От 1000 до 100 000 субъектов ПДн Более чем 100 000 субъектов ПДн
Обезличенные и (или) общедоступныеК4 К4К4
ПДн, позволяющие идентифицировать субъекта ПДн К3К3 К2
ПДн, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию К3К2 К1
ПДн, касающиеся рассовой, национальной принадлежности, политицеских взглядов, религиозных и философских убеждений, состоянии здоровья, интимной жизни К1К1 К1

Стоит отметить, что К1 и К2 - наиболее зарегулированные системы, требующие для своей реализации очень дорогостоящих мер, например, сертифицированного программного и аппаратного обеспечения. Информационные системы этих классов оператор не может внедрять самостоятельно, если у него нет соответствующей лицензии. К3 и К4 ограничены заметно менее жесткими требованиями и дают свободу выбора средств защиты, а также позволяют оператору самостоятельно реализовывать все необходимые меры.

Стоимость внедрения и владения систем защиты персональных данных заметно растет по мере уменьшения класса, то есть К4 - самые дешевые, а К1 - наиболее дорогие. Вполне очевидно, что ключ к оптимальному решению - это повышение класса системы любыми доступными способами и приобретение лишь самых необходимых средств защиты на грани разрешенного.

Ниже представлены основные регулирующие законы, регламенты, шаблоны документов и т.д. с краткими комментариями:

(с 15 по 19 декабря 2011 г. доступны для скачивания только шаблоны документов, законодательная база обновляется)

Основные положения

  • "Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" - С этого документа в 1981 году и началась история защиты персональных данных. Особенно рекомендуем ознакомиться в случае трансграничной передачи данных.
  • "Федеральный закон 160-ФЗ "О ратификаци Конвенции Совета Европы...") - Вышеупомянутая Конвенция была ратфицирована в РФ.
  • "Федеральный закон 152-ФЗ "О персональных данных" - Основной документ, содержащий общие положения, термины и концепцию защиту прсональных данных в РФ, обязателен к изучению.
  • "Федеральный закон 149-ФЗ "Об информации, информационных технологиях и о защите информации" - Не менее важный федеральный закон, содержащий базовые положения об информации и её защите (что в принципе следует из его названия). Рекомендуем изучить сразу после 152-ФЗ.

Постановления правительства

  • "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" - Описывает порядок обработки персональных данных вне информационных систем. Грубо говоря, на бумаге и в шкафу: бланки, анкеты, опросники и т.д.
  • "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" - Описывает обработку биометрической информации. Обращаем внимание, что возраст и пол к биометрии не относятся.
  • "Об утверждении положения об обесеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" - Интересен прежде всего как правовая база для методических указаний регуляторов.

Документы ФСБ РФ

  • "Методические ркомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработкев информационных системах персональных данных с использованием средств автоматизации". - Этот и следующий документ регулируют использование криптографии (шифрования) при обработке персональных данных.
  • "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации,не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных"

Документы ФСТЭК РФ

  • "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" - Как выявить угрозы.
  • "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" - Как составить полную модель угроз безопасности, то есть один из основных документов по защите персональных данных.
  • "Положение о методах и способах защиты информации в информационных системах персональных данных" - Один из основных документов по обеспечению защиты.

Внимание! Два документа ФСТЭК, а именно "Основные мероприятия по организации и техническому обеспечению информации.." и "Рекомендации по обеспечению защиты персональных данных...", были отменены в 2010 году, однако цитаты из них никак не могут сойти со страниц форумов и сохранились в устаревших тематических статьях. Будьте осторожны, так как многие приведенные в них требования гораздо жестче и затратнее, чем необходимые на сегодняшний день.

Документы Роскомнадзора

  • "Приказ об утверждении образца формы уведомления об обработке персональных данных" - Устанавливает форму уведомления, которую высылает оператор в Роскомнадзор. Обращаем внимание, что уведомление в некоторых случаях отсылать необязательно.
  • "Приказ об утверждении Порядка проведения классификации информационных систем персональных данных" - Более известен как "приказ трёх", так как является совместным приказом ФСТЭК, ФСБ и Роскомнадзора. Устанавливает тот самый классификатор, что приведен в начале раздела.
  • "Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных" - Всё о проверках. Обязателен к изучению.

Примеры и шаблоны типовых документов

 
 

  
Санкт-Петербург, Малый ПС пр-кт, д. 87, оф. 411

E-mail: info@smart-tek.ru
  Новости  
01.06.2017
54-ФЗ В чем суть закона об онлайн-кассах и какая от него польза бизнесу
Комментарии экспертов "1С" том, что изменится для малого бизнеса в ближайшие два года и есть ли для российских предпринимателей хоть какие-то плюсы в новом законе. Подробнее

31.05.2017
Форму счета-фактуры дополнили новой строкой
С 1 июля 2017 года форма счета-фактуры будет дополнена строкой 8 «Идентификатор государственного контракта, договора (соглашения)». Корректировочный счет-фактура пополнится строкой 5 с таким же наименованием.Подробнее

30.05.2017
Минфин против свободного доступа к сведениям об уплате НДС
Минфин РФ в своем письме от 16.05.2017 № 03-07-14/29343 прокомментировал предложение о предоставлении компаниям возможности проверять выставляемые контрагентами счета-фактуры и исполнение ими обязанности по уплате НДС.Подробнее

 
 Главная   О компании   Контакты