Персональные данные

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Персона́льные да́нные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);.[1]

Нормативная база[править | править вики-текст]

Нормативной основой защиты персональных данных являются нормы Конституции РФ, Федерального закона «О персональных данных», Указ Президента РФ «О перечне сведений конфиденциального характера» и другие акты.Правовой основой для него послужила Всеобщая декларация прав человека, провозглашенная Генеральной Ассамблеей Организации Объединенных Наций в 1948 г. Согласно ст. 12 этого документа "никто не может подвергаться произвольному вмешательству в его личную и семейную жизнь произвольным посягательством на его честь и репутацию". Положения Декларации получили свое дальнейшее развитие в других международно-правовых документах и документах Европейского союза, в частности в принятой 4 декабря 1950 г. Европейской конвенции о защите прав человека и основных свобод. 28 января 1981 г. Совет Европы принял Конвенцию о защите физических лиц при автоматизированной обработке персональных данных (далее - Конвенция о защите физических лиц) и Дополнительный протокол к Конвенции, касающийся наблюдательных органов и трансграничной передачи данных. Были приняты также две директивы Европейского парламента и Совета Европейского союза (Директива 95/46/ЕС от 24 октября 1995 г. о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных и Директива 97/66/ЕС от 15 декабря 1997 г., касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций); а также Рекомендации Комитета министров государствам - членам Совета Европы по защите неприкосновенности частной жизни в Интернете (19 февраля 1999 г.)

Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» является базовым в проблематике защиты персональных данных. Данный закон принят в целях исполнения международных обязательств РФ, возникших после подписания и ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года. Конвенция ратифицирована с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, подписанную от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года.

Одним из главных требований Конвенции и 152-ФЗ является взятие с субъекта персональных данных согласия на обработку персональных данных.

Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 г. Москва "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" определяет уровни защищенности и новые типы информационных систем.

Документ предписывает Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением.

В 2008 году были приняты следующие документы (согласно Постановлению Правительства РФ №781 - в настоящее время действие данного постановления отменено, однако методические материалы используются).

В 2012 году было принято новое Постановление Правительства №1119[2][3], а в 2013 году введён в действие новый Приказ ФСТЭК №21, а также очередные правки в Федеральном законе №152 от 27.07.2011. Данные документы предъявляют новые требования к оператору персональных данных[4][5].

Методические материалы ФСТЭК России[править | править вики-текст]

  • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года[6].
  • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14 февраля 2008 года[6].

Документы, которые не применяются с 15 марта 2010 года[7]:

  • «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 года)
  • «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 года)

Приказ ФСТЭК России о составе и содержании мер по обеспечению безопасности персональных данных в ИСПДн[править | править вики-текст]

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. N 21 г. Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Документ зарегистрирован в Минюсте РФ 14 мая 2013 года, опубликован 22 мая 2013 года в «Российской газете» (№ 6083), вступит в действие с 1 июня 2013 года.

Признает утратившим силу приказ ФСТЭК России от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный N 16456).

Методические материалы ФСБ России[править | править вики-текст]

  • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21 февраля 2008 года.
  • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» от 21 февраля 2008 года.[8]

В соответствии с положениями федерального закона от 27 декабря 2009 года № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона „О персональных данных“», вступившего в силу 29 декабря 2009 года, в законе № 152-ФЗ в части 1 статьи 19 было исключено требование использования оператором при обработке ПДн шифровальных (криптографических) средств. Таким образом, требования методических материалов, разработанных ФСБ России и направленных на разъяснение требований по обеспечению безопасности ПД путем организации криптографической защиты данных, перестали носить обязательный характер.

Приказ трех ведомств[править | править вики-текст]

13 февраля 2008 г. был подписан так называемый «приказ трех»:

Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Документ представляет собой методическую рекомендацию по классификации информационных систем.

Проводить классификацию информационных систем персональных данных должны все операторы персональных данных, осуществляющие обработку с использованием средств автоматизации.

Отменен приказом N151/786/461[9].

См. также[править | править вики-текст]

Примечания[править | править вики-текст]

  1. Федеральный закон «О персональных данных»
  2. Российская Газета. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 г. Москва
  3. Постановление Правительства № 1119. Схема требований
  4. Сравнительный анализ старой и новой нормативно-правовой базы (от 02.2013).
  5. Порядок действия оператора персональных данных в соответствии с новым законодательством (от 02.2013)
  6. 1 2 ФСТЭК России — Информационно-справочная система по документам в области технической защиты информации
  7. ФСТЭК России — Решение ФСТЭК
  8. ФСБ РФ — Методические материалы открытого характера, предназначенные для определения методов и способов защиты с использованием криптосредств персональных данных.
  9. ФСТЭК, ФСБ, Минкомсвязь России. О признании утратившим силу приказа Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных". Российская Газета (31 декабря 2013 г.).

Ссылки[править | править вики-текст]