Персона́льные да́нные (или личные данные) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).^[1]

Нормативная база

Нормативной основой защиты персональных данных являются нормы Конституции РФ, Федерального закона «О персональных данных», Указ Президента РФ «О перечне сведений конфиденциального характера» и другие акты. Федеральный закон Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных» является базовым в проблематике защиты персональных данных. Данный закон принят в целях исполнения международных обязательств РФ, возникших после подписания и ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года. Конвенция ратифицирована с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, подписанную от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года.

В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановило утвердить Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 17 ноября 2007 г. N 781)

Документ предписывает Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением.

В результате увидели свет следующие документы:

Методические материалы ФСТЭК России

• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (Базовая модель).

• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 14 февраля 2008 года (Методика).

Документы, которые не применяются с 15 марта 2010 г. Решение ФСТЭК:

• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)

• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.)

Приказ ФСТЭК России о методах и способах защиты информации в системах персональных данных

Приказ ФСТЭК от 5 февраля 2010 г. N 58 Об утверждении положения о методах и способах защиты информации в информационных системах защиты персональных данных. Документ подписал директор ФСТЭК С.Григоров 5 февраля 2010 года. В отличие от четырех методических документов ФСТЭК, данный документ является нормативно-правовым актом. Документ зарегистрирован в Минюсте РФ 19 февраля 2010 г., опубликован 5 марта 2010 г. в «Российской газете» (№ 46), начал действовать с 16 марта 2010 г.

Историческое Решение ФСТЭК России!

Решением Федеральной службы по техническому и экспортному контролю от 5 марта 2010 года в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных « (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: „Российская газета“, 5 марта 2010 г., № 46) отменено применение с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России: — Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.; — Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г. [1]

Методические материалы ФСБ России

• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21 февраля 2008 года

• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных" от 21 февраля 2008 года

В соответствии с положениями федерального закона от 27.12.2009 г. № 363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных», вступившего в силу 29.12.2009 года, в законе № 152-ФЗ в части 1 статьи 19 было исключено требование использования оператором при обработке ПД шифровальных (криптографических) средств. Таким образом, требования методических материалов, разработанных ФСБ России и направленных на разъяснение требований по обеспечению безопасности ПД путем организации криптографической защиты данных, перестали носить обязательный характер.

Приказ трех ведомств

13 февраля 2008 г. был подписан так называемый «приказ трех»:

Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных». Документ представляет из себя методическую рекомендацию по классификации информационных систем.

См. также

• Организационно-распорядительные документы для защиты персональных данных
• Федеральный закон «О персональных данных»
• Защита персональных данных
• Предотвращение утечек
• Уничтожение персональных данных
• Оператор персональных данных
• Информационная безопасность
• Информационная система
• Государственная информационная политика России
• Информационное самоопределение

Примечания

Ссылки

• Конвенция Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных".
• Роскомнадзор. — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) - сайт уполномоченного органа по защите прав субъектов персональных данных.. Архивировано из первоисточника 29 марта 2012.
• Информационно-аналитический журнал «Персональные данные». — Первое в России официальное специализированное информационно-аналитическое издание, ориентированное на руководителей и специалистов, занимающихся вопросами обработки и защиты персональных данных. Архивировано из первоисточника 29 марта 2012.
• pers-data — аналитика российского законодательства в области защиты персональных данных