Обзор изменений законодательства в области защиты персональных данных
За последнее время в области защиты персональных данных произошли значительные изменения, собственно это и побудило нас на написание данной статьи, в которой мы максимально попытаемся раскрыть суть изменений в законодательстве и нормативно - правовых актах в области защиты персональных данных.
Необходимо отметить, что изменения в большей мере коснутся деятельности органов государственной власти, но это и логично, т.к. наши государственные структуры идут по пути формирования электронного правительства и оказания государственных услуг в электронном виде, а это в свою очередь сопряжено с обработкой большого количества информации, в том числе и персональных данных.
Теперь по порядку: после внесения изменений в Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" было принято Постановление Правительства РФ от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
По сути 211 постановление правительства РФ регламентирует действия оператора ИСПДн, являющегося государственным или муниципальным органом, такие как: назначение ответственного, подача уведомления в Роскомнадзор и принятие ряда внутренних распорядительных документов.
Основной вопрос и затруднения, которые могут испытывать ответственные за организацию обработки персональных данных в связи с принятием 211 постановления - это разработка внутренних организационных документов. В этой связи нами предложены проекты внутренних распорядительных документов, которыми можно воспользоваться, что несомненно облегчит задачу в их разработке. Проекты документов можно скачать, перейдя по ссылке, которая непосредственно находится в тексте Постановления Правительства РФ от 21 марта 2012 г. N 211. Также на нашем сайте вы можете ознакомиться с образцом заполнения уведомления об обработке персональных данных и рекомендациями по его заполнению.
Следующие изменения были вызваны принятием Постановления Правительства РФ от 1 ноября 2012 г. N 1119 " Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных "
О том, какие изменения произошли в связи с принятием данного постановления, мы писали ранее в статье Изменения, вызванные принятием Постановления Правительства РФ от 1 ноября 2012 г. N 1119 " Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных ". Но в итоге это постановление внесло больше вопросов, чем ответов в связи с отменой некоторых нормативно правовых актов и непринятием ни одного документа взамен. Тем не менее, на данный момент ситуация проясняется. 11 и 18 февраля 2013 года директором ФСТЭК утверждены приказы № 17 и 21 соответственно, и это позволило нам разобраться в том, что такое уровни защищенности, а точнее - какие меры принимать по защите персональных данных, обрабатываемых в ИСПДн, имеющей определенный в соответствии с 1119 постановлением правительства уровень защищенности.
Проанализировав новые требования регуляторов, стало понятно, что принципы защиты информации с принятием новых документов не изменились (собственно и не могли измениться) - как существовали организационные и технические меры, направленные на снижение угроз безопасности, так и они и остались. Но, тем не менее, такая детализация, с которой описаны меры по защите в двух новых приказах, это большой прорыв для нашего государства в сфере обеспечения защиты персональных данных. Так как данная статья не имеет цели углубляться в детальное рассмотрение документов (это уже сделано другими экспертами в области защиты персональных данных), нам хотелось бы обратить внимание на 2 новых раздела нашего сайта: Расчет уровня защищенности для ИСПДн и Расчет класса защищенности для ГИС.
В этих разделах мы реализовали автоматический расчет уровня защищенности ИСПДн в соответствии с 1119 постановлением правительства и определение класса в ГИС в соответствии с 17 приказом ФСТЭК и - что не менее полезно - вывод требований и мер (включая компенсирующие) по защите ИСПДн и ГИС в соответствии с определенным уровнем и классом защищенности. Как нам кажется, этот сервис поможет вам сконцентрировать свое внимание на более важных вещах, чем, например, выписывание из таблиц мер по защите, а так же им можно воспользоваться как средством проверки правильности уже принятых решений.
В дальнейшем мы планируем совершенствовать данный сервис и под каждое требование и меру выработать предложения по их реализации, что еще больше поможет сэкономить время и принять правильное решение.
Администрация сайта также будет признательна за любое содействие в развитии данного сервиса. Если вы нашли ошибку или у вас есть предложение по наполнению/ другая полезная информация, которой вы хотите поделиться - ждем ваших сообщений через форму обратной связи или по адресу электронной почты itsec2012@yandex.ru.