RSS
Закон "О защите персональных данных": ответы на вопросы
Принятие Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) стало очередным этапом эволюционного развития российского It рынка, обусловленного необходимостью синхронизации международного и российского законодательства.
В рамках настоящей статьи будут рассмотрены ответы на наиболее часто встречающиеся вопросы, связанные с практическим применением Закона N 152-ФЗ.
Какие основные термины и определения используются в Федеральном законе? Основополагающим понятием, которое приведено в Законе N 152-ФЗ, являются "персональные данные" - "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация".
Кроме того, в Законе N 152-ФЗ также введено понятие "оператор" - "государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных". Таким образом, под действие данного Закона подпадает практически любая организация, которая обрабатывает персональные данные своих сотрудников или клиентов.
Еще одним важным термином, который определен в рамках Закона N 152-ФЗ, является понятие "обработка персональных данных" - "действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных". Следовательно, под обработкой понимается максимально широкий спектр операций над персональными данными. Так, если организация осуществляет только хранение или передачу персональных данных, то эти действия также являются обработкой.
Каковы основные требования по защите персональных данных? Согласно ст. 19 Закона N 152-ФЗ "оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".
Кроме того, в соответствии с положениями данного Закона обработка персональных данных может осуществляться только с согласия субъекта в письменной форме. В качестве ее альтернативы можно использовать электронную цифровую подпись. Однако в Законе N 152-ФЗ есть ряд исключений, в частности согласие субъекта не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
Еще одно требование сформулировано в ст. 22 Закона N 152-ФЗ - "оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных". Однако и в данной статье предусмотрен целый ряд исключений. Например, если организация обрабатывает только персональные данные своих работников, то в этом случае она может вести обработку без уведомления уполномоченного органа.
В качестве уполномоченного органа выступает Роскомнадзор, на сайте которого можно получить информацию о форме уведомления и порядке ее заполнения. Именно Роскомнадзор с формальной точки зрения отвечает за соблюдение требований законодательства в области защиты персональных данных. На сайте регулятора можно ознакомиться с планом проверок на текущий и следующий годы, а также с их некоторыми результатами.
Необходимо отметить, что в тексте Закона N 152-ФЗ и соответствующих постановлений Правительства Российской Федерации сформулированы лишь общие требования по защите персональных данных, поэтому в начале 2008 г. ФСТЭК России (Федеральной службой по техническому и экспортному контролю) и ФСБ России (Федеральной службой безопасности) был утвержден пакет документов с более детальными техническими требованиями по защите персональных данных. Данные требования являются методической основой для создания систем обеспечения безопасности персональных данных, соответствующих требованиям Закона N 152-ФЗ.
Какова ответственность за нарушение требований по защите персональных данных? В соответствии со ст. 24 Закона N 152-ФЗ "лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность". На практике нарушение требований данного Закона может привести к одному из следующих последствий:
приостановление или прекращение обработки персональных данных, осуществляемой с нарушением требований Закона N 152-ФЗ;
направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;
приостановка действия или лишение лицензий, без которых деятельность по обработке персональных данных становится незаконной;
конфискация несертифицированных средств защиты информации. С учетом того, что определенные механизмы безопасности интегрированы в общесистемное и прикладное программное обеспечение, в ряде случаев возможна конфискация серверов и рабочих станций, обрабатывающих персональные данные;
привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей Уголовного и Административного кодексов.
Кроме того, согласно п. 3 ст. 21 Закона N 152-ФЗ "в случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные". При этом очевидно, что уничтожение персональных данных для организаций, работающих с физическими лицами, например банков или страховых компаний, уничтожение персональных данных равносильно приостановке бизнеса.
Какие изменения были внесены в законодательство в области защиты персональных данных в 2009 - 2010 гг.? В 2009 - 2010 гг. были внесены некоторые изменения в законодательство о персональных данных.
Согласно Федеральному закону от 25.11.2009 N 266-ФЗ внесены изменения в Закон N 152-ФЗ по вопросам реализации международных договоров Российской Федерации о реадмиссии .
--------------------------------
Реадмиссия - передача запрашивающим государством и принятие запрашиваемым государством лиц (граждан запрашиваемого государства, граждан третьих государств или лиц без гражданства), чей въезд, пребывание или проживание в запрашивающем государстве признаны незаконными.
При необходимости обработки персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии:
согласие субъекта персональных данных не требуется;
допускается обработка специальных категорий персональных данных;
обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных;
может осуществляться трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных.
В соответствии с Федеральным законом от 27.12.2009 N 363-ФЗ исключена обязанность оператора использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Тем не менее следует отметить, что использование средств криптографической защиты регламентируется нормативными документами ФСБ России и определяется на основе модели нарушителя. Таким образом, в случае использования каналов связи для передачи персональных данных за пределы контролируемой зоны и невозможности обеспечить защиту этой информации организационными мерами необходимо использовать криптографические средства защиты.
Продлен также срок, до которого информационные системы персональных данных должны быть приведены в соответствие с требованиями Закона N 152-ФЗ.
Теперь информационные системы персональных данных, созданные до 1 января 2010 г., должны быть приведены в соответствие с требованиями Закона N 152-ФЗ не позднее 1 января 2011 г. При этом необходимо отметить, что те информационные системы, которые вводятся в эксплуатацию после 1 января 2010 г., уже должны соответствовать требованиям по защите персональных данных.
16 марта 2010 г. вступил в силу Приказ ФСТЭК России N 58 (далее - Приказ N 58), согласно которому принято Положение о методах и способах защиты информации в информационных системах персональных данных, в котором определены методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах операторами или уполномоченными лицами .
--------------------------------
Уполномоченное лицо - лицо, которому на основании договора оператор поручает обработку персональных данных.
В Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.
В связи с изданием Приказа N 58 Решением ФСТЭК России от 15.03.2010 для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных не применяются следующие методические документы ФСТЭК России:
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Таким образом, с 15 марта 2010 г. методы и способы защиты информации в информационных системах персональных данных (ИСПДн) устанавливаются ФСТЭК России в следующих документах:
"Базовая модель угроз безопасности ПДн при их обработке в ИСПДн";
"Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн";
"Положение о методах и способах защиты информации в информационных системах персональных данных".
Новое Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное Приказом N 58, вносит следующие ключевые изменения в требования по защите персональных данных:
отменяется обязательность аттестации ИСПДн операторов вне зависимости от классов;
отменяется требование по обязательному наличию сертификата ФСТЭК России на отсутствие недекларированных возможностей для ИСПДн 2-го класса. Данное требование остается только для ИСПДн 1-го класса;
отменяется обязательное требование по защите информации от утечки по техническим каналам. Теперь защита от этих видов угроз необходима только в том случае, если данная угроза является актуальной в соответствии с моделью угроз.
Важно отметить, что внесенные изменения не отменяют необходимость использовать сертифицированные средства защиты информации, так как это требование содержится как в Приказе N 58, так и в Постановлении Правительства Российской Федерации от 17.11.2007 N 781.
В чем заключается процесс создания системы защиты персональных данных? Для реализации требований Закона N 152-ФЗ требуются создание и внедрение комплексной системы защиты. Как правило, процесс создания такой системы защиты включает следующие основные этапы:
проведение обследования с целью оценки соответствия организации требованиям Закона N 152-ФЗ;
разработка модели угроз безопасности персональных данных;
разработка модели нарушителя (в случае использования каналов связи для передачи персональных данных);
проектирование системы защиты персональных данных в составе информационной системы, обрабатывающей персональные данные (ИСПДн);
разработка комплекта организационно-распорядительных документов по защите персональных данных;
внедрение системы защиты персональных данных;
аттестация ИСПДн по требованиям безопасности информации.
Работы по созданию системы защиты персональных данных могут выполняться силами самой организации либо при помощи компаний, специализирующихся на оказании такого рода услуг.
Рассмотрим более подробно этапы процесса по защите персональных данных в компании.
Проведение обследования. Обследование предназначено для получения текущей оценки соответствия требованиям Закона N 152-ФЗ и определения дальнейших шагов по выполнению соответствующих требований. Обследование может осуществляться с использованием следующих методов:
представление опросных листов по определенной тематике, самостоятельно заполняемых сотрудниками компании. В тех случаях, когда представленные материалы не полностью дают ответы на необходимые вопросы, проводится дополнительное интервьюирование;
интервьюирование сотрудников компании, обладающих необходимой информацией;
анализ существующей организационно-технической документации, используемой в компании.
На основе полученной информации определяются информационные системы, обрабатывающие персональные данные, а также перечень обрабатываемой информации. Примерами таких систем могут являться бухгалтерские программы, программы кадрового учета, CRM-системы с информацией о текущих и будущих клиентах, системы билинга и др. В процессе обследования каждой из выявленных ИСПДн присваивается определенный класс. Классификация осуществляется в соответствии с Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".
Классификация осуществляется по двум основным критериям: категории и объему обрабатываемых данных. В соответствии с требованиями ФСТЭК России выделены следующие категории персональных данных:
категория 1 - персональные данные, касающиеся расовой принадлежности, политических взглядов, религиозных философских убеждений, состояния здоровья;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные персональные данные.
С точки зрения объема обрабатываемых данных выделяются следующие виды систем:
категория 1 - в информационной системе одновременно обрабатываются персональные данные более 100 000 субъектов;
категория 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов;
категория 3 - в информационной системе одновременно обрабатываются персональные данные менее чем 1000 субъектов. Заказ настоящего средства Карепрост в Калуге по демократичной цене
В.Сердюк
К. т. н. CISSP, генеральный директор ЗАО "ДиалогНаука"
В рамках настоящей статьи будут рассмотрены ответы на наиболее часто встречающиеся вопросы, связанные с практическим применением Закона N 152-ФЗ.
Какие основные термины и определения используются в Федеральном законе? Основополагающим понятием, которое приведено в Законе N 152-ФЗ, являются "персональные данные" - "любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация".
Кроме того, в Законе N 152-ФЗ также введено понятие "оператор" - "государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных". Таким образом, под действие данного Закона подпадает практически любая организация, которая обрабатывает персональные данные своих сотрудников или клиентов.
Еще одним важным термином, который определен в рамках Закона N 152-ФЗ, является понятие "обработка персональных данных" - "действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных". Следовательно, под обработкой понимается максимально широкий спектр операций над персональными данными. Так, если организация осуществляет только хранение или передачу персональных данных, то эти действия также являются обработкой.
Каковы основные требования по защите персональных данных? Согласно ст. 19 Закона N 152-ФЗ "оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".
Кроме того, в соответствии с положениями данного Закона обработка персональных данных может осуществляться только с согласия субъекта в письменной форме. В качестве ее альтернативы можно использовать электронную цифровую подпись. Однако в Законе N 152-ФЗ есть ряд исключений, в частности согласие субъекта не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
Еще одно требование сформулировано в ст. 22 Закона N 152-ФЗ - "оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных". Однако и в данной статье предусмотрен целый ряд исключений. Например, если организация обрабатывает только персональные данные своих работников, то в этом случае она может вести обработку без уведомления уполномоченного органа.
В качестве уполномоченного органа выступает Роскомнадзор, на сайте которого можно получить информацию о форме уведомления и порядке ее заполнения. Именно Роскомнадзор с формальной точки зрения отвечает за соблюдение требований законодательства в области защиты персональных данных. На сайте регулятора можно ознакомиться с планом проверок на текущий и следующий годы, а также с их некоторыми результатами.
Необходимо отметить, что в тексте Закона N 152-ФЗ и соответствующих постановлений Правительства Российской Федерации сформулированы лишь общие требования по защите персональных данных, поэтому в начале 2008 г. ФСТЭК России (Федеральной службой по техническому и экспортному контролю) и ФСБ России (Федеральной службой безопасности) был утвержден пакет документов с более детальными техническими требованиями по защите персональных данных. Данные требования являются методической основой для создания систем обеспечения безопасности персональных данных, соответствующих требованиям Закона N 152-ФЗ.
Какова ответственность за нарушение требований по защите персональных данных? В соответствии со ст. 24 Закона N 152-ФЗ "лица, виновные в нарушении требований, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность". На практике нарушение требований данного Закона может привести к одному из следующих последствий:
приостановление или прекращение обработки персональных данных, осуществляемой с нарушением требований Закона N 152-ФЗ;
направление в органы прокуратуры, другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;
приостановка действия или лишение лицензий, без которых деятельность по обработке персональных данных становится незаконной;
конфискация несертифицированных средств защиты информации. С учетом того, что определенные механизмы безопасности интегрированы в общесистемное и прикладное программное обеспечение, в ряде случаев возможна конфискация серверов и рабочих станций, обрабатывающих персональные данные;
привлечение к административной и уголовной ответственности лиц, виновных в нарушении соответствующих статей Уголовного и Административного кодексов.
Кроме того, согласно п. 3 ст. 21 Закона N 152-ФЗ "в случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные". При этом очевидно, что уничтожение персональных данных для организаций, работающих с физическими лицами, например банков или страховых компаний, уничтожение персональных данных равносильно приостановке бизнеса.
Какие изменения были внесены в законодательство в области защиты персональных данных в 2009 - 2010 гг.? В 2009 - 2010 гг. были внесены некоторые изменения в законодательство о персональных данных.
Согласно Федеральному закону от 25.11.2009 N 266-ФЗ внесены изменения в Закон N 152-ФЗ по вопросам реализации международных договоров Российской Федерации о реадмиссии .
--------------------------------
Реадмиссия - передача запрашивающим государством и принятие запрашиваемым государством лиц (граждан запрашиваемого государства, граждан третьих государств или лиц без гражданства), чей въезд, пребывание или проживание в запрашивающем государстве признаны незаконными.
При необходимости обработки персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии:
согласие субъекта персональных данных не требуется;
допускается обработка специальных категорий персональных данных;
обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных;
может осуществляться трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных.
В соответствии с Федеральным законом от 27.12.2009 N 363-ФЗ исключена обязанность оператора использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Тем не менее следует отметить, что использование средств криптографической защиты регламентируется нормативными документами ФСБ России и определяется на основе модели нарушителя. Таким образом, в случае использования каналов связи для передачи персональных данных за пределы контролируемой зоны и невозможности обеспечить защиту этой информации организационными мерами необходимо использовать криптографические средства защиты.
Продлен также срок, до которого информационные системы персональных данных должны быть приведены в соответствие с требованиями Закона N 152-ФЗ.
Теперь информационные системы персональных данных, созданные до 1 января 2010 г., должны быть приведены в соответствие с требованиями Закона N 152-ФЗ не позднее 1 января 2011 г. При этом необходимо отметить, что те информационные системы, которые вводятся в эксплуатацию после 1 января 2010 г., уже должны соответствовать требованиям по защите персональных данных.
16 марта 2010 г. вступил в силу Приказ ФСТЭК России N 58 (далее - Приказ N 58), согласно которому принято Положение о методах и способах защиты информации в информационных системах персональных данных, в котором определены методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах операторами или уполномоченными лицами .
--------------------------------
Уполномоченное лицо - лицо, которому на основании договора оператор поручает обработку персональных данных.
В Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.
В связи с изданием Приказа N 58 Решением ФСТЭК России от 15.03.2010 для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных не применяются следующие методические документы ФСТЭК России:
Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Таким образом, с 15 марта 2010 г. методы и способы защиты информации в информационных системах персональных данных (ИСПДн) устанавливаются ФСТЭК России в следующих документах:
"Базовая модель угроз безопасности ПДн при их обработке в ИСПДн";
"Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн";
"Положение о методах и способах защиты информации в информационных системах персональных данных".
Новое Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное Приказом N 58, вносит следующие ключевые изменения в требования по защите персональных данных:
отменяется обязательность аттестации ИСПДн операторов вне зависимости от классов;
отменяется требование по обязательному наличию сертификата ФСТЭК России на отсутствие недекларированных возможностей для ИСПДн 2-го класса. Данное требование остается только для ИСПДн 1-го класса;
отменяется обязательное требование по защите информации от утечки по техническим каналам. Теперь защита от этих видов угроз необходима только в том случае, если данная угроза является актуальной в соответствии с моделью угроз.
Важно отметить, что внесенные изменения не отменяют необходимость использовать сертифицированные средства защиты информации, так как это требование содержится как в Приказе N 58, так и в Постановлении Правительства Российской Федерации от 17.11.2007 N 781.
В чем заключается процесс создания системы защиты персональных данных? Для реализации требований Закона N 152-ФЗ требуются создание и внедрение комплексной системы защиты. Как правило, процесс создания такой системы защиты включает следующие основные этапы:
проведение обследования с целью оценки соответствия организации требованиям Закона N 152-ФЗ;
разработка модели угроз безопасности персональных данных;
разработка модели нарушителя (в случае использования каналов связи для передачи персональных данных);
проектирование системы защиты персональных данных в составе информационной системы, обрабатывающей персональные данные (ИСПДн);
разработка комплекта организационно-распорядительных документов по защите персональных данных;
внедрение системы защиты персональных данных;
аттестация ИСПДн по требованиям безопасности информации.
Работы по созданию системы защиты персональных данных могут выполняться силами самой организации либо при помощи компаний, специализирующихся на оказании такого рода услуг.
Рассмотрим более подробно этапы процесса по защите персональных данных в компании.
Проведение обследования. Обследование предназначено для получения текущей оценки соответствия требованиям Закона N 152-ФЗ и определения дальнейших шагов по выполнению соответствующих требований. Обследование может осуществляться с использованием следующих методов:
представление опросных листов по определенной тематике, самостоятельно заполняемых сотрудниками компании. В тех случаях, когда представленные материалы не полностью дают ответы на необходимые вопросы, проводится дополнительное интервьюирование;
интервьюирование сотрудников компании, обладающих необходимой информацией;
анализ существующей организационно-технической документации, используемой в компании.
На основе полученной информации определяются информационные системы, обрабатывающие персональные данные, а также перечень обрабатываемой информации. Примерами таких систем могут являться бухгалтерские программы, программы кадрового учета, CRM-системы с информацией о текущих и будущих клиентах, системы билинга и др. В процессе обследования каждой из выявленных ИСПДн присваивается определенный класс. Классификация осуществляется в соответствии с Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".
Классификация осуществляется по двум основным критериям: категории и объему обрабатываемых данных. В соответствии с требованиями ФСТЭК России выделены следующие категории персональных данных:
категория 1 - персональные данные, касающиеся расовой принадлежности, политических взглядов, религиозных философских убеждений, состояния здоровья;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные персональные данные.
С точки зрения объема обрабатываемых данных выделяются следующие виды систем:
категория 1 - в информационной системе одновременно обрабатываются персональные данные более 100 000 субъектов;
категория 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов;
категория 3 - в информационной системе одновременно обрабатываются персональные данные менее чем 1000 субъектов. Заказ настоящего средства Карепрост в Калуге по демократичной цене
В.Сердюк
К. т. н. CISSP, генеральный директор ЗАО "ДиалогНаука"
Другие новости по теме:
Реализация положений федерального закона 152 ФЗ "О защите персональных дан ... Закон «О персональных данных» вступит в силу 1 июля 2011 г. Роскомнадзор дал разъяснения по закону о персональных данных Федеральный закон от 27 декабря 2009 г. N 363-ФЗ "О внесении изменений в с ... Дворкович: новых переносов сроков закона "О персональных данных" не будет Утечка персональных данных нарастает