5. Последние изменения в законодательстве
Дата
Нормативный акт
Комментарий
01.11.2012 Постановление Правительства РФ № 1119
—
«Об утверждении требований к защите персональных —
данных при их обработке в информационных
системах персональных данных»
Введен новый порядок классификации ИСПДн
Предложены
14.12.2012 Разъяснения Роскомнадзора по вопросам,
касающимся обработки персональных данных
работников, соискателей на замещение вакантных
должностей, а также лиц, находящихся в кадровом
резерве
—
24.12.2012 Проект постановления Правительства РФ
«Об утверждении Положения о государственном
контроле и надзоре за соответствием обработки
персональных данных требованиям Федерального
закона «О персональных данных»
—
Уточнены важнейшие положения Федерального закона
«О персональных данных», касающиеся обработки
персональных данных работников, сотрудников по
договорам ГПХ, соискателей вакансий
Разъяснена необходимость получения согласия
работника на обработку персональных данных
и на передачу третьим лицам
Расширяет полномочия Роскомнадзора по контролю
выполнения требований Федерального закона
«О персональных данных»
Увеличивает число оснований для проведения
внеплановой проверки
—
—
15.03.2013 Приказ Роскомнадзора № 274 «Об утверждении
—
перечня иностранных государств, не являющихся
сторонами Конвенции Совета Европы о защите
—
физических лиц при автоматизированной обработке
персональных данных и обеспечивающих адекватную
защиту прав субъектов персональных данных»
Уточняет требования Федерального закона
«О персональных данных»
Облегчает выполнение требований, связанных
с передачей персональных данных работников
и клиентов за границу (в том числе при использовании
облачных сервисов)
5
6. Последние изменения в законодательстве
Дата
Нормативный акт
Комментарий
Федеральный закон № 99-ФЗ «О внесении
изменений в отдельные законодательные акты РФ
в связи с принятием Федерального закона
“О ратификации Конвенции Совета Европы
о защите физических лиц при автоматизированной
обработке персональных данных” и Федерального
закона “О персональных данных”»
—
—
Вступил в силу приказ ФСТЭК России
от 18.02.2013 № 21 «Об утверждении состава
и содержания организационных и технических мер
по обеспечению безопасности персональных
данных при их обработке в информационных
системах персональных данных»
—
15.07.2013
Информационное сообщение ФСТЭК России
по вопросам защиты информации и обеспечения
безопасности персональных данных
при их обработке в информационных системах.
—
Разъяснѐн порядок применения вступившего в силу
приказа ФСТЭК России от 18.02.2013 № 21
30.08.2013
Разъяснения Роскомнадзора по вопросам
отнесения фото- и видео- изображения,
дактилоскопических данных и иной информации
к биометрическим персональным данным
и особенности их обработки
—
Уточнены «белые пятна» Федерального закона
«О персональных данных», касающиеся обработки
биометрических данных
Разъяснѐн порядок хранения ксерокопий паспортов,
медицинских данных
Разъяснѐн порядок ведения видеонаблюдения
за работниками и клиентами
07.05.2013
02.06.2013
—
—
—
—
Одновременно изменились 14 федеральных законов
Внесены изменения в Трудовой кодекс,
регламентирующие обработку персональных данных
работников
Изменѐн порядок обработки персональных данных
в нескольких отраслях
Изменѐн кардинальным образом подход к применению
средств защиты информации для защиты
персональных данных в коммерческих компаниях
Позволяет уменьшит расходы на внедрение средств
защиты информации, если грамотно интерпретировать
требования
6
7. Последние изменения в законодательстве
Дата
Нормативный акт
Комментарий
01.09.2013 Вступил в силу приказ ФСТЭК России
от 12.02.2013 № 17 «Об утверждении Требований
о защите информации, не составляющей
государственную тайну, содержащейся
в государственных информационных системах»
—
Изменѐн кардинальным образом подход к применению
средств защиты информации для защиты
персональных данных в бюджетных, муниципальных
и государственных органах, а также
во взаимодействующих с ними компаниях
05.09.2013 Приказ Роскомнадзора № 996 «Об утверждении
требований и методов по обезличиванию
персональных данных»
—
Уточнѐн порядок обезличивания персональных данных
— одного из способов облегчения выполнения
требований Федерального закона «О персональных
данных»
01.10.2013 Разработан проект приказа ФСБ России
«Об утверждении состава и содержания
организационных и технических мер
по обеспечению безопасности персональных
данных при их обработке в информационных
системах персональных данных с использованием
средств криптографической защиты
информации…»
—
Проект содержит избыточные и иногда невыполнимые
требования ко всем компаниям, обрабатывающим
персональные данные
25.11.2013 Проект методических рекомендаций
ФСТЭК России по применению Приказа
ФСТЭК России № 17 и Приказа ФСТЭК России
№ 21
—
Будет уточнѐн порядок выполнения многозначных
требований соответствующих приказов
7
12. Классификация ИСПДн
1-й уровень
2-й уровень
3-й уровень
Специальные ПДн
мене 100 000
субъектов
Содержание ПДн
Угрозы 1-го типа
Угрозы 2-го типа
Угрозы 3-го типа
Биометрические ПДн
Угрозы 1-го типа
Угрозы 2-го типа
Угрозы 3-го типа
Угрозы 1-го типа
Угрозы 2-го типа
Угрозы 3-го типа
Угрозы 2-го типа
Угрозы 3-го типа
Общедоступные ПДн
Остальные ПДн
более 100 000
субъектов
Специальные ПДн
Биометрические ПДн
Угрозы 1-го типа
Угрозы 1-го типа
Угрозы 2-го типа
Угрозы 1-го типа
Остальные ПДн
Угрозы 3-го типа
Угрозы 2-го типа
Угрозы 3-го типа
Угрозы 1-го типа
Общедоступные ПДн
Угрозы 3-го типа
Угрозы 2-го типа
Угрозы 1-го типа
4-й уровень
Угрозы 2-го типа
Угрозы 3-го типа
12
13. Укрупненные меры защиты
1-й
уровень
2-й
уровень
3-й
уровень
4-й
уровень
Применение орг. и технических мер защиты ПДн
[ст.181.1.(3)]
+
+
+
+
Режим безопасности помещений ИСПДн
+
+
+
+
Сохранность носителей ПДн
+
+
+
+
Издание перечня лиц, допущенных к ПДн
+
+
+
+
Оценку соответствия СЗИ, используемых в ИСПДн
+
+
+
+
+
+
+
+
+
+
Должностное лицо, ответственное за безопасность
ПДн
Ограничение доступа к содержанию эл. журнала
сообщений
Автоматизированную регистрацию изменения
полномочий
Структурное подразделение обеспечения безопасности
ПДн
+
+
13