Про персональные данные.

Опять же, тема задалась последними тренингами в регионах и темой на ТренерСовете. Допекли-таки, решила собрать все в один пост.

Часто, обсуждая решения на базе SharePoint-технологий или объединенные коммуникации (unified communications, UC), вместе со слушателями мы так или иначе затрагиваем тему сертификации тех или иных продуктов Microsoft и затем плавно сползаем к теме пресловутого “сто-пиисят-второго закона”, он же – Федеральный закон Российской Федерации от 27.07.2006 г. N 152-ФЗ «О персональных данных».

И вот в Красноярске на прошлой неделе с одним из партнеров мы обсуждали тему правильного лицензирования нотариусов и, естественно, не обошлось без вопроса про 152-ФЗ. Этот же вопрос и от того же партнера “всплыл” на форуме (ссылка выше). Как оказалось, вопрос довольно животрепещущий. Посему выношу сюда в блог результаты своих изысканий. Не только относительно нотариусов – там все достаточно просто, спасибо за разъяснение Федеральной Нотариальной Палаты.

Дальше будет длинно и довольно нудно, но очень важно в свете того, что в соответствии с частью 3 статьи 25 Федерального Закона от 27.07.2006 г. N 152-ФЗ “О персональных данных”, цитирую: “Информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года”. Наслаждайтесь, в общем :)

Полный список документов, регламентирующих обработку персональных данных выглядит вот так (ссылки - ниже):

1. «Конституция Российской Федерации» от 12.12.93 г.;
2. Указ Президента РФ № 188 от 06.03.97 г. «Об утверждении перечня сведений конфиденциального характера»;
3. Федеральный закон № 149-ФЗ от 27.07.06 г. «Об информации, информационных технологиях и о защите информации»;
4. Федеральный закон № 197-ФЗ от 30.12.01 г. «Трудовой кодекс Российской Федерации»;
5. Федеральный закон № 152-ФЗ от 27.07.06 г. «О персональных данных»;
6. Постановление Правительства РФ № 781 от 17.11.07 г. «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
7. Приказ Россвязьохранкультуры № 154 от 28.03.08 г. «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»;
8. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.08 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
9. Указ Президента РФ № 351 от 17.03.08 г. «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
10. Указ Президента РФ № 609 от 30.05.05 г. «Об утверждении положения о персональных данных государственного гражданского служащего российской Федерации и ведении его личного дела»;
11. Постановление Правительства РФ № 1233 от 03.11.94 г. «Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных

Техническая защита персональных данных регламентируется следующими основными документами:

1. Федеральный закон № 128-ФЗ от 08.08.01 г. «О лицензировании отдельных видов деятельности»;
2. Постановление Правительства РФ № 45 от 26.01.06 г. «Об организации лицензирования отдельных видов деятельности»;
3. Постановление Правительства РФ № 504 от 15.08.06 г. «О лицензировании деятельности по технической защите конфиденциальной информации»;
4. «Положение о государственном лицензировании деятельности в области защиты информации», решение Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации № 10 от 27.04.94 г.;
5. «Положение по аттестации объектов информатизации по требованиям безопасности информации», утверждено Председателем Государственной технической комиссии при Президенте РФ 25.11.94 г.;
6. Постановление Правительства РФ № 608 от 26.06.95 г. «О сертификации средств защиты информации»;
7. «Положение о сертификации средств защиты информации по требованиям безопасности информации», приказ Председателя Гостехкомиссии России № 199 от 27.10.95 г.;
8. Указ Президента РФ № 334 от 03.04.95 г. «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации»;
9. Указ Президента РФ № 1085 от 16.08.04 г. «Вопросы Федеральной службы по техническому и экспортному контролю»;
10. документы ФСБ и ФСТЭК России по обеспечению безопасности конфиденциальной (персональные данные) информации;
11. другие законодательные акты.
    

Вот еще для интересующихся особо. Нормативно-правовая база по смежным направлениям:

1. Закон № 5341-1 от 07.07.93 г. «Об архивном фонде Российской Федерации и архивах»;
2. Федеральный закон № 25-ФЗ от 02.03.07 г. «О муниципальной службе в Российской Федерации»;
3. Постановление Государственного Комитета Российской Федерации по стандартизации и метрологии № 454-ст от 06.11.01 г. «О принятии и введении в действие ОКВЭД»;
4. Материалы Минэкономразвития России «О создании системы персонального учета населения Российской Федерации»;
5. Распоряжение Правительства Российской Федерации № 748-р от 09.06.05 г. «Концепция создания системы персонального учета населения Российской Федерации»;
6. Указ Президента РФ № 320 от 12.03.07 г. «О Федеральной службе по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия»;
7. Постановление Правительства РФ № 419 от 02.06.08 г. «Об утверждении положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций»;
8. Приказ Федеральной Службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия № 128 от 19.03.08 г. «Об утверждении административного регламента Федеральной Службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия по исполнению государственной функции по рассмотрению обращений операторов связи по вопросам присоединения сетей электросвязи и взаимодействия операторов связи, принятию по ним решений и выдаче предписаний в соответствии с федеральным законом»;
9. Федеральный закон № 40-ФЗ от 03.04.95 г. «О федеральной службе безопасности»;
10. Руководящий нормативный документ МВД России, утвержденный Заместителем Министра внутренних дел России «РД 78.143-92. Системы и комплексы охранной сигнализации, элементы технической укрепленности объектов. Нормы проектирования»;
11. Руководящий документ ГУВО МВД России «Р 78.36.007-99. Выбор и применение средств охранно-пожарной сигнализации и средств технической укрепленности для оборудования объектов. Рекомендации»;
12. Государственный стандарт РФ ГОСТ Р 51141-98 «Делопроизводство и архивное дело. Термины и определения», утвержденный Постановлением Госстандарта РФ № 28 от 27.02.98 г.;
13. «Квалификационный справочник должностей руководителей, специалистов и других служащих», утвержденный постановлением Минтруда РФ № 37 от 21.08.98 г.;
14. «Правила устройства электроустановок», утвержденные приказом Минпромэнерго России;
15. другие законодательные акты.

И, наконец, чем регулируется ответственность за нарушение требований в части защиты персональных данных:

1. Федеральный закон № 197-ФЗ от 30.12.01 г. (с изменениями) «Трудовой кодекс Российской Федерации»;
2. Федеральный закон № 63-ФЗ от 13.06.96 г. (с изменениями) «Уголовный кодекс Российской Федерации»;
3. Федеральный закон № 195-ФЗ от 30.12.01 г. (с изменениями) «Кодекс Российской Федерации об административных правонарушениях».

А теперь - ссылки на основные документы, регламентирующие работу с персональными данными:

1	Федеральный закон Российской Федерации от 27.07.2006 г. N 152-ФЗ «О персональных данных»
2	Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ (14 глава, с изменениями и дополнениями)
3	Постановление Правительства Российской Федерации от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
4	Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
5	Постановление Правительства Российской Федерации от 6.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
6	Постановление Правительства Российской Федерации от 15.08.2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации
7	Постановление Правительства Российской Федерации от 16.03.2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»
8	Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»
9	Приказ Россвязькомнадзора от 17.07.2008 г. № 08 «Об утверждении образца формы уведомления об обработке персональных данных»
10	Приказ Россвязькомнадзора от 18.02.2009 № 42 «О внесении изменений в приказ Россвязькомнадзора от 17 июля 2008г. № 8 «Об утверждении образца формы уведомления об обработке персональных данных»
11	ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»

Кстати, практически на всех тренингах интересуюсь у партнеров тем, как в разных регионах обстоит дело с приведением ИС в соответствие с требованиями 152-ФЗ… Так вот, практически везде с введением отсрочки клиенты успокоились и заняли выжидательную позицию – вдруг еще отсрочку дадут... А кое-кто уже всерьез озадачивается технологическим обеспечением – закупкой и развертыванием сертифицированных версий ПО, например. И только в Татарстане еще в ноябре прошлого года партнеры рассказывали, что подавляющее большинство клиентов высказывается в духе: “Пока к нам не пришли и не оштрафовали, мы заниматься этим не будем! А то мы сейчас на это деньги потратим, а нас проверять-то никто и не придет…”