В виду того, что Конвенция не содержит перечня практических мероприятий по защите персональных данных, сам факт её ратификации несильно заинтересовал специалистов в области защиты информации. Лиха беда начало…
27 июля 2006 г. принят Федеральный закон РФ № 152-ФЗ «О персональных данных»
(Вступил в действие 26 января 2007 г. по истечении ста восьмидесяти дней после дня его официального опубликования)
Является ли фотография биометрическими ПДн, нужно ли в обязательном порядке применять криптографические средства согласно статье 19 п.1 – вот далеко не полный перечень вопросов, которые всколыхнули общественность.
Информационные системы персональных данных, созданные до дня вступления в силу данного ФЗ, должны быть приведены в соответствие с требованиями ФЗ не позднее 1 января 2010 года.
Дискуссии о том, что же собственно такое персональные данные не утихают до сих пор...
Постановлением Правительства РФ от 15 декабря 2007 г. № 878 «О некоторых вопросах деятельности Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия» путём внесения изменений в Постановление от 6 июня 2007 г. №353 уполномоченным органом по защите прав субъектов персональных данных определена Россвязьохранкультура (претерпела ряд изменений: Россвязьохранкультура - Россвязькомнадзор - Роскомнадзор). Впоследствии выпускает ряд документов, как то:
- Приказ Россвязьохранкультуры от 28 марта 2008 г. № 154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»;
- Приказ Россвязькомнадзора от 17 июля 2008 г. № 08 «Об утверждении образца формы уведомления об обработке персональных данных»;
- Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утвержден приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.12.2009 г. № 630).
В поддержку ФЗ выходит распоряжение Правительства РФ от 15 августа 2007 г. № 1055-р об утверждении Плана подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных», который устанавливает перечень необходимых документов, ответственные ведомства и сроки их разработки.
Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» в п.3 предписывает ФСТЭК и ФСБ России установить методы и способы защиты информации в информационных системах.
Примечателен п.5:
«Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.»
Согласно п.18:
«Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.»
Не вдаваясь в подробности, следует отметить, что упоминаемого порядка в настоящий момент не существует. В настоящее время применяется процедура сертификации средств защиты информации по требованиям безопасности информации.
П.11 Постановления содержит перечень мероприятий, которые должны быть обеспечены при обработке персональных данных в информационной системе.
Постановление Правительства РФ от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
Что же представляют собой биометрические персональные данные? Это можно понять из определения носителя, приведенного в данном ПП:
П.2. В настоящих требованиях под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность (далее - материальный носитель).
Спустя 10 месяцев с момента бурного обсуждения ПП РФ от 17 ноября 2007 г. № 781 и сопутствующих ему документов ФСТЭК и ФСБ России, вышедших в феврале 2008 г. (о них речь пойдет в следующей части), выходит Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», которое вносит сумятицу в умы защитников персональных данных и соблазн отойти от требований ФСТЭК и ФСБ России путём признания обработки персональных данных без использования средств автоматизации:
П.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
П.2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Комментариев нет:
Отправить комментарий