Правовые основания

В июле 2006 г. был принят Федеральный закон № 152-ФЗ «О персональных данных». Согласно данному ФЗ, государственные и муниципальные органы, юридические или физические лица, организующие и (или) осуществляющие обработку персональных данных (ПДн), а также определяющие цели и содержание обработки ПДн обязаны принимать организационные и технические меры, для защиты ПДн от несанкционированного доступа (НСД), уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий.

Мероприятия по защите ПДн в информационных системах персональных данных (ИСПДн) должны быть реализованы не позднее 1 января 2011 г.

Согласно Указу Президента РФ от 6 марта 1997 г. № 188 и ФЗ №128-ФЗ "О лицензировании отдельных видов деятельности" защита ПДн относится к лицензируемому виду деятельности (деятельность по технической защите конфиденциальной информации) и подлежит обязательному лицензированию по требованиям ФСТЭК России. Кроме того, в некоторых системах защиты ПД (СЗПДн) предполагается использование средств шифрования. Для использования и обслуживания средств шифрования необходимо иметь лицензию ФСБ России. Таким образом, для защиты ПДн оператору необходимо получить соответствующие лицензии ФСТЭК и ФСБ России. В случае невозможности получения лицензий, оператор ПДн вправе обратится к организации, имеющей подобные лицензии, и на договорной основе возложить на нее обязанности по защите ПДн.

Нарушение требований руководящих документов по защите ПДн, в том числе и отсутствие у оператора ПДн соответствующих лицензий, влечет за собой гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность. Контроль и надзор за выполнением требований законодательства по защите ПДн осуществляют федеральные органы, уполномоченные в области обеспечения безопасности (ФСБ России, ФСТЭК России и Мининформсвязи России).

Вопросы обеспечения безопасности ПДн при их обработке в ИСПДн регламентируются следующими документами:

• Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;
• Постановление Правительства Российской Федерации «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2007 г. № 781;
• Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 г. Москва «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
• Приказ ФСТЭК России от 5.02.2010 № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»;
• РД ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
• РД ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
• ФСБ России «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;
• ФСБ России «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных».

Cогласно нормативным документам по защите ПДн, все ИСПДн разделяются на 4 класса. Состав мероприятий по защите ПДн определяется в зависимости от класса ИСПДн. Для ИСПДн 1-го, 2-го и 3-го классов нормативными документами по защите ПДн предусматриваются требования, обязательные для исполнения. Самый строгий по количеству выдвигаемых требований – 1-й класс. В ИСПДн 4-го класса обрабатываются обезличенные ПД (общедоступные), требования к защите которых устанавливает сам оператор.