О персональных данных

Согласно статье №3 федерального закона №152 "О персональных данных" от 27.07.2006г., персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

До недавнего времени, многие операторы могли руководствоваться только законом, в области ПДн, потому как четыре методических руководства ФСТЭК (Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных - все от 15.02.2008г.) носили гриф "Для служебного пользования" и не были доступны в открытом доступе широкой публике. О содержании данных методических руководств, оператор узнавал в лучшем случае лишь тогда, когда оператор принимал решение о проведении аттестации. И тогда оператор хоть что-то мог узнать о содержании "методичек".

Спустя некоторое время, ФСТЭК сняли гриф с этих руководств, и они стали доступны публике на сайте ФСТЭК (www.fstec.ru). Все бы ничего, да вот только 5 марта 2010г. первым заместителем директора ФСТЭК России было утверждено решение: "В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 <Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных> (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: <Российская газета>, 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:

Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;

Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г."

После чего вся классификация информационных систем персональных данных (далее - ИСПДн) легла на "приказ трёх" - Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации (ФСБ России), Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России), от 13 февраля 2008 г. N 55/86/20, «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Ждем очередных перемен.