Disclaimer

Этот блог появился как реплика с http://blogs.technet.com/tail в силу определенных обстоятельств. Любая информация в ЭТОМ блоге предоставляется без каких либо гарантий и обязательств. Все мнения принадлежат их авторам и не могут быть связаны с позициями и мнениями официальных лиц или организаций.

суббота, 22 мая 2010 г.

Disclaimer или Несколько слов о… том как все-таки быстро прошел год :)

Этот блог появился как реплика с ресурса http://blogs.technet.microsoft.com в силу определенных обстоятельств… С этих слов год назад начался этот блог. Этот дисклаймер вы видите в панели слева. Сначала накатала подробный разбор того, что произошло за этот год и… стерла. Дурацкая идея по любому поводу и без оного подводить какие-то итоги. Но само по себе событие – ровно год существования этого блога – заслуживает внимания уже потому, что я вижу интерес моих читателей к тому, что я тут пишу. Спасибо тем, кто был этот год – не самый простой,  но один из самых удачных в моей жизни год. Спасибо вам :)

четверг, 6 мая 2010 г.

Про персональные данные.

Опять же, тема задалась последними тренингами в регионах и темой на ТренерСовете. Допекли-таки, решила собрать все в один пост.

Часто, обсуждая решения на базе SharePoint-технологий или объединенные коммуникации (unified communications, UC), вместе со слушателями мы так или иначе затрагиваем тему сертификации тех или иных продуктов Microsoft и затем плавно сползаем к теме пресловутого “сто-пиисят-второго закона”, он же – Федеральный закон Российской Федерации от 27.07.2006 г. N 152-ФЗ «О персональных данных».

И вот в Красноярске на прошлой неделе с одним из партнеров мы обсуждали тему правильного лицензирования нотариусов и, естественно, не обошлось без вопроса про 152-ФЗ. Этот же вопрос и от того же партнера “всплыл” на форуме (ссылка выше). Как оказалось, вопрос довольно животрепещущий. Посему выношу сюда в блог результаты своих изысканий. Не только относительно нотариусов – там все достаточно просто, спасибо за разъяснение Федеральной Нотариальной Палаты.

Дальше будет длинно и довольно нудно, но очень важно в свете того, что в соответствии с частью 3 статьи 25 Федерального Закона от 27.07.2006 г. N 152-ФЗ “О персональных данных”, цитирую: “Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года”. Наслаждайтесь, в общем :)

Полный список документов, регламентирующих обработку персональных данных выглядит вот так (ссылки - ниже):

  1. «Конституция Российской Федерации» от 12.12.93 г.;
  2. Указ Президента РФ № 188 от 06.03.97 г. «Об утверждении перечня сведений конфиденциального характера»;
  3. Федеральный закон № 149-ФЗ от 27.07.06 г. «Об информации, информационных технологиях и о защите информации»;
  4. Федеральный закон № 197-ФЗ от 30.12.01 г. «Трудовой кодекс Российской Федерации»;
  5. Федеральный закон № 152-ФЗ от 27.07.06 г. «О персональных данных»;
  6. Постановление Правительства РФ № 781 от 17.11.07 г. «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
  7. Приказ Россвязьохранкультуры № 154 от 28.03.08 г. «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»;
  8. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.08 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
  9. Указ Президента РФ № 351 от 17.03.08 г. «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
  10. Указ Президента РФ № 609 от 30.05.05 г. «Об утверждении положения о персональных данных государственного гражданского служащего российской Федерации и ведении его личного дела»;
  11. Постановление Правительства РФ № 1233 от 03.11.94 г. «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных

Техническая защита персональных данных регламентируется следующими основными документами:

  1. Федеральный закон № 128-ФЗ от 08.08.01 г. «О лицензировании отдельных видов деятельности»;
  2. Постановление Правительства РФ № 45 от 26.01.06 г. «Об организации лицензирования отдельных видов деятельности»;
  3. Постановление Правительства РФ № 504 от 15.08.06 г. «О лицензировании деятельности по технической защите конфиденциальной информации»;
  4. «Положение о государственном лицензировании деятельности в области защиты информации», решение Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации № 10 от 27.04.94 г.;
  5. «Положение по аттестации объектов информатизации по требованиям безопасности информации», утверждено Председателем Государственной технической комиссии при Президенте РФ 25.11.94 г.;
  6. Постановление Правительства РФ № 608 от 26.06.95 г. «О сертификации средств защиты информации»;
  7. «Положение о сертификации средств защиты информации по требованиям безопасности информации», приказ Председателя Гостехкомиссии России № 199 от 27.10.95 г.;
  8. Указ Президента РФ № 334 от 03.04.95 г. «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации»;
  9. Указ Президента РФ № 1085 от 16.08.04 г. «Вопросы Федеральной службы по техническому и экспортному контролю»;
  10. документы ФСБ и ФСТЭК России по обеспечению безопасности конфиденциальной (персональные данные) информации;
  11. другие законодательные акты.

Вот еще для интересующихся особо. Нормативно-правовая база по смежным направлениям:

  1. Закон № 5341-1 от 07.07.93 г. «Об архивном фонде Российской Федерации и архивах»;
  2. Федеральный закон № 25-ФЗ от 02.03.07 г. «О муниципальной службе в Российской Федерации»;
  3. Постановление Государственного Комитета Российской Федерации по стандартизации и метрологии № 454-ст от 06.11.01 г. «О принятии и введении в действие ОКВЭД»;
  4. Материалы Минэкономразвития России «О создании системы персонального учета населения Российской Федерации»;
  5. Распоряжение Правительства Российской Федерации № 748-р от 09.06.05 г. «Концепция создания системы персонального учета населения Российской Федерации»;
  6. Указ Президента РФ № 320 от 12.03.07 г. «О Федеральной службе по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия»;
  7. Постановление Правительства РФ № 419 от 02.06.08 г. «Об утверждении положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций»;
  8. Приказ Федеральной Службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия № 128 от 19.03.08 г. «Об утверждении административного регламента Федеральной Службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по исполнению государственной функции по рассмотрению обращений операторов связи по вопросам присоединения сетей электросвязи и взаимодействия операторов связи, принятию по ним решений и выдаче предписаний в соответствии с федеральным законом»;
  9. Федеральный закон № 40-ФЗ от 03.04.95 г. «О федеральной службе безопасности»;
  10. Руководящий нормативный документ МВД России, утвержденный Заместителем Министра внутренних дел России «РД 78.143-92. Системы и комплексы охранной сигнализации, элементы технической укрепленности объектов. Нормы проектирования»;
  11. Руководящий документ ГУВО МВД России «Р 78.36.007-99. Выбор и применение средств охранно-пожарной сигнализации и средств технической укрепленности для оборудования объектов. Рекомендации»;
  12. Государственный стандарт РФ ГОСТ Р 51141-98 «Делопроизводство и архивное дело. Термины и определения», утвержденный Постановлением Госстандарта РФ № 28 от 27.02.98 г.;
  13. «Квалификационный справочник должностей руководителей, специалистов и других служащих», утвержденный постановлением Минтруда РФ № 37 от 21.08.98 г.;
  14. «Правила устройства электроустановок», утвержденные приказом Минпромэнерго России;
  15. другие законодательные акты.

И, наконец, чем регулируется ответственность за нарушение требований в части защиты персональных данных:

  1. Федеральный закон № 197-ФЗ от 30.12.01 г. (с изменениями) «Трудовой кодекс Российской Федерации»;
  2. Федеральный закон № 63-ФЗ от 13.06.96 г. (с изменениями) «Уголовный кодекс Российской Федерации»;
  3. Федеральный закон № 195-ФЗ от 30.12.01 г. (с изменениями) «Кодекс Российской Федерации об административных правонарушениях».

А теперь - ссылки на основные документы, регламентирующие работу с персональными данными:

1

Федеральный закон Российской Федерации от 27.07.2006 г. N 152-ФЗ «О персональных данных»

2

Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ (14 глава, с изменениями и дополнениями)

3

Постановление Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

4

Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5

Постановление Правительства Российской Федерации от 6.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

6

Постановление Правительства Российской Федерации от 15.08.2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации

7

Постановление Правительства Российской Федерации от 16.03.2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»

8

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

9

Приказ Россвязькомнадзора от 17.07.2008 г. № 08 «Об утверждении образца формы уведомления об обработке персональных данных»

10

Приказ Россвязькомнадзора от 18.02.2009 № 42 «О внесении изменений в приказ Россвязькомнадзора от 17 июля 2008г. № 8 «Об утверждении образца формы уведомления об обработке персональных данных»

11

ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»

Кстати, практически на всех тренингах интересуюсь у партнеров тем, как в разных регионах обстоит дело с приведением ИС в соответствие с требованиями 152-ФЗ… Так вот, практически везде с введением отсрочки клиенты успокоились и заняли выжидательную позицию – вдруг еще отсрочку дадут... А кое-кто уже всерьез озадачивается технологическим обеспечением – закупкой и развертыванием сертифицированных версий ПО, например. И только в Татарстане еще в ноябре прошлого года партнеры рассказывали, что подавляющее большинство клиентов высказывается в духе: “Пока к нам не пришли и не оштрафовали, мы заниматься этим не будем! А то мы сейчас на это деньги потратим, а нас проверять-то никто и не придет…”