Федеральный Закон № 152-ФЗ «О персональных данных»

 

В части статей ФЗ №152 "О защите персональных данных" подвергся изменениям, использование криптографических средств будет выделенно в отдельные статьи касаемые классов систем безопасности (к1, к2, к3 и к4). Каждому классу будут соответствовать соответствующие криптографические ПО, для каждого класса будет своя политика безопасности и требования выдвигаемые для компаний в использовании персональных данных, поэтому у всех компаний скорей всего будет выбор либо получить лицензии в ФСБ и ФСТЭК (скорей всего за большие деньги) на оперирование персональных данных в соответствии с законом, либо воспользоваться криптографическими программами отвечающими требованиям одного из классов систем безопасности. На одном из заседаний гос думы обсуждался этот вопрос, и было принято решение в связи с не готовностью банков и подобных структур перейти на новый уровень безопасности в соответствии с требованиями ФЗ №152, были внесены поправки в ФЗ в части некоторых статей, дабы в дальнейшем доработать эти статьи, и было озвучено что 1 января 2011 года закон полностью вступит в силу как требование, и соответствующие органы будут следить за выполнением на территории РФ данных требований по оперированию персональных данных.
 
Операторами персональных данных должна обеспечиваться конфиденциальность персональных данных, за исключением случаев, обезличенных и общедоступных персональных данных.
Оператор обязан принимать организационные и технические меры, для защиты ПД от НСД, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий (ст. 19, ч. 1)
Правительство РФ устанавливает требования к обеспечению безопасности ПД при их обработке (ст. 19, ч. 2)
Требования должны быть выполнены до 1.01.2010 г. (ст. 25)
Федеральные органы в области обеспечения безопасности и ПД ИТР и ТЗИ (ФСБ России и ФСТЭК России) осуществляют контроль и надзор
Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

Федеральный Закон № 152-ФЗ «О персональных данных»

Госдума приняла в третьем чтении поправки к закону "О персональных данных". Согласно им срок приведения информационных систем в соответствие с законом переносится на один год – до 1 января 2011 года.
Закон "О персональных данных" был принят в 2006 году. Его пункты, касающиеся защиты персональных данных в автоматизированных системах, должны были начать действовать с 1 января 2010 года. В них ужесточаются требования по защите информации ко всем операторам персональных данных, то есть к тем организациям и людям, которые собирают и хранят сведения о гражданах. Речь идет о следующих данных: имя, фамилия, дата рождения, семейное положение, адрес, телефон, паспортные данные и пр. Все организации, работающие с персональными данными, в течение трех лет были обязаны установить на компьютеры сертифицированные системы защиты и провести их аттестацию.

Организация защиты персональных данных

Мероприятия по защите персональных данных определяются на основе СТР-К и РД ФСТЭК России и реализуются в рамках подсистем СОБИ:
  • управления доступом
  • регистрации и учета
  • обеспечения целостности
  • криптографической защиты
  • антивирусной защиты
  • обнаружения вторжений
  • защиты от утечки за счет ПЭМИН (для ИС 1 и 2 классов)
Основные мероприятия по организации и техническому обеспечению защиты персональных данных обрабатываемых в ИС ПД.

Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия, включая сертификацию на соответствие требованиям по безопасности информации.
Для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации – СЗИ, в том числе и встроенных в общесистемное и прикладное программное обеспечение – ПО) должен быть обеспечен соответствующий уровень контроля отсутствия в нем
недекларированных возможностей.
 
Подробнее о защите персональных данных http://xp-7.ru/blog/1-0-7