Пользователь
0,0
рейтинг
4 ноября 2010 в 20:10

Разработка → Персональные данные (Краткий FAQ)


Что такое персональные данные?


Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:  
— его фамилия, имя, отчество, 
— год, месяц, дата и место рождения, 
— адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, 
другая информация (см. ФЗ-152, ст.3).
Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.
В общедоступные источники персональных данных (адресные книги, списки и другое информационное обеспечение) с письменного согласияфизического лица могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер и иные персональные данные (см. ФЗ-152, ст.8).
Персональные данные относятся к информации ограниченного доступа и должны быть защищены в соответствии с законодательством РФ. При формировании требований по безопасности систем персональные данные разделяют на 4 категории.


Что такое оператор и субъект персональных данных?


Оператор персональных данных - это, как правило, организация, а точнее — государственный или муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Субъект персональных данных - это физическое лицо.
Оператор несет ответственность за защиту персональных данных субъекта в соответствии с действующим законодательством РФ.


Как классифицировать информационную систему персональных данных?


Для того, чтобы отнести типовую информационную систему персональных данных (ИСПДн) к тому или иному классу необходимо:
I.  Определить категорию обрабатываемых персональных данных: 
• категория 4 - обезличенные и (или) общедоступные персональные данные; 
• категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных; 
• категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1; 
• категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни.
II.  Определить объем персональных данных, обрабатываемых в информационной системе: 
 объем 3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации; 
• объем 2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; 
• объем 1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
III.  По результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов (см. табл.): 
  класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных; 
  класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных; 
  класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных; 
  класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных. 
    
Объем / Категория

Объем 3 
(<1 000,  
организация)

Объем 2 
(1 000-100 000, 
отрасль, город)

Объем1   
(>100 000, 
субъект Федерации)

Категория 4 (обезличенные, общедоступные)

Класс 4

Класс 4

Класс 4

Категория 3 (идентификационные)

Класс 3

Класс 3

Класс 2

Категория 2 (идентификационные и еще)

Класс 3

Класс 2

Класс 1

Категория 1 (медицинские, социальные)

Класс 1

Класс 1

Класс 1



См. Порядок проведения классификации информационных систем персональных данных, введенный Приказом ФСТЭК (Федеральная служба по техническому и экспортному контролю) России, ФСБ России, Мининформсвязи России N 55/86/20. 


Судный день отсрочен до 1 января 2011 года


Информационные системы персональных данных, созданные до дня вступления в силу Федерального закона РФ № 152 «О персональных данных», должны быть приведены в соответствие с требованиями данного Федерального закона не позднее 1 января 2010 года (см. ФЗ-152, ст.25).
Это означает, что операторы персональных данных, не сумевшие выполнить весьма жесткие требования ФЗ-152, с 1 января 2010 г. понесут соответствующую гражданскую, административную, дисциплинарную, а может быть (не дай Бог) и уголовную ответственность.
Все информационные системы, уже принятые в эксплуатацию после февраля-апреля 2008 г. (с момента рассылки методических документов ФСТЭК России и ФСБ России), но не соответствующие требованиям российского законодательства в области персональных данных, могут понести указанную ответственность и ранее, например, завтра утром.
Примечание. Изменения в УК РФ, существенно ужесточающие ответственность за нарушения, затрагивающие неприкосновенность частной жизни, тоже вступят в силу с 1 января 2010 года.


ДОПОЛНЕНИЕ :
Но как всегда случается, операторы персональных данных особо не шевелились, и мало кто успел сделать все, что требуется. 16 декабря 2009 г. Госдума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных» (152-ФЗ). Срок приведения информационных систем персональных данных (ИСПДн) в соответствие с данным законом перенесли на год – до 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифровальные (криптографические) средства для защиты данных.


Обязательные требования по защите информационных систем персональных данных


Основные обязательные требования к организации системы защиты информации в зависимости от класса типовой ИСПДн:
Для ИСПДн класса 4: 
Перечень мероприятий по защите персональных данных определяется оператором (в зависимости от возможного ущерба)
Для ИСПДн класса 3:  
• декларирование соответствия или обязательная аттестация по требованиям безопасности информации 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (для распределенных систем ИСПДн К3)
Для ИСПДн класса 2: 
• обязательная аттестация по требованиям безопасности информации 
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации для распределенных систем
Для ИСПДн класса 1: 
• обязательная аттестация по требованиям безопасности информации 
• должны быть реализованы мероприятия по защите персональных данных от ПЭМИН 
• получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации


Порядок действий по защите информационной системы персональных данных


Последовательность действий при выполнении требований законодательства по обработке персональных данных:
1) Уведомление в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных с использованием средств автоматизации; 
2) Предпроектное обследование информационной системы — сбор исходных данных; 
3) Классификация системы обработки персональных данных; 
4) Построение частной модели угроз с целью определения их актуальности для информационной системы; 
5) Разработка частного технического задания на систему защиты персональных данных; 
6) Проектирование системы защиты персональных данных; 
7) Реализация и внедрение системы защиты персональных данных; 
8) Выполнение требований по инженерной защите помещений, требований по пожарной безопасности, охране, электропитанию и заземлению, санитарных и экологических требований; 
9) Аттестация (сертификация) по требованиям безопасности информации; 
10) Повышение квалификации сотрудников в области защиты персональных данных; 
11) Сопровождение (аутсорсинг) системы защиты персональных данных.


Когда аттестация и сертификация обязательна?


Аттестация информационных систем по требованиям безопасности информации обязательна: 
— для ИСПДн, в случае отнесения персональных данных к государственному информационному ресурсу (см.«Специальные требования и рекомендации по технической защите конфиденциальной информации», Гостехкомиссия России, 2001 г.) ;  
- в остальных случаях — для ИСПДн 1, 2 и 3 классов.  
Для ИСПДн 3 класса по решению оператора процедура обязательной аттестации может быть заменена процедурой декларирования соответствия (см. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», ФСТЭК России, 2008 г., п.3.11). К сожалению, в настоящее время процесс декларации соответствия не регламентирован.
Средства защиты информации, применяемые в ИСПДн, в установленном порядке проходят процедуру оценки соответствия (см. «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п.5), включая сертификацию на соответствие требованиям по безопасности информации (см. «Основные мероприятия по организации...», п. 3.3). 
При этом, для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации, в том числе встроенных в общесистемное и прикладное программное обеспечение), должна быть проведена в том числе сертификация на отсутствие недекларированных возможностей (см. «Основные мероприятия по организации...», пп. 4.2, 4.3).
Примечание: 
1) Операторы ИСПДн при проведении мероприятий по обеспечению безопасности персональных данных (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке. 
2) Заявители на сертификацию средств защиты информации (разработчики СЗИ, ИСПДн или операторы персональных данных) должны иметь лицензию на осуществление деятельности по разработке и/или производству средств защиты конфиденциальной информации. 

ДОПОЛНЕНИЕ :
В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.


Ответственность за нарушения по обработке персональных данных


Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут: 
— гражданскую, 
- уголовную (см. Уголовный кодекс Российской Федерации, ст.137, 140, 155, 183, 272, 273, 274, 292, 293), 
— административную (см. Кодекс Российской Федерации об административных правонарушениях, ст. 5.27, 5.39, 13.11-13.14, 13.19, 19.4-19.7, 19.20, 20.25, 32.2), 
—  дисциплинарную (см. Трудовой кодекс Российской Федерации, ст.81; ст.90; ст.195; ст.237; ст.391) 
и  иную  предусмотренную  законодательством  РФ  ответственность (см. подзаконные акты по работе с персональными данными, которые издаются в субъектах РФ, ведомствах и организациях).



Аббревиатуры используемые в статье:
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
ПЭМИН — Побочные Электромагнитные Излучения и Наводки
YaZvA @jazvenko
карма
0,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (111)

  • +1
    Я вот все понять все таки не могу. Вот есть у меня сайт, там можно регистрироваться и писать комментарии. Мне обязательно проходить аттестацию? И кто будет определять класс информационной системы?
    • 0
      Все зависит от того какие данные вы просите от пользователя при регистрации на сайте
      • +2
        А если на хабре создать голосование «сколько вам лет?», то это уже 4-я категория?
        • 0
          Видимо нет. Потому что нет точной информации по каждому субъекты.
          Но если публиковать имя и фамилию в профилях пользователей — это уже 3-я, как я понял.
          • +1
            Скорее 2-я. В профилях полно другой дополнительной информации — и возраст, и место работы, и прочие контакты.
            • 0
              и все они недостоверны
              я так понимаю, до тех пор пока система не оперирует данными, позволяющими идентифицировать гражданина (коими являются паспортные, водительские права и т.п) — то эти данные являются обезличенными, а значит 4-я категория
              • 0
                А требования к достоверности законом не предъявляются.
                Вообще, чёткой трактовки, что является данными, позволяющими идентифицировать человека, в законе и связанных с ним бумагах нет. Представители ФСТЭК заявляли, что сочетание ФИО + дата рождения уже достаточно. В некоторых случаях (редкая фамилия, например) достаточно и меньшего.
          • +1
            В зависимости от количества проголосовавших от 3 до 1 категории :)
    • 0
      Не просите от человека столько информации, что можно будет однозначно его идентифицировать, и тогда у вас не будет персональных данных вообще. Вот Интернет-магазинам действительно тяжело.
      • +1
        Кстати, в Регламенте проверок РосКомНадзора есть требование предъявить экранные формы, подразумевающие ввод персональных данных, поэтому идентифицирующие поля необходимо именно убирать — ответом «их никто не заполняет» не отделаться.
      • 0
        На сколько я понял инет-магазинам достаточно включить при регистрации договор-оферту, в котором человек соглашается с тем, что его персональными данными можно оперировать.
        Правда, мне непонятно, нужно ли сертифицировать/аттестировать…

        поправьте, если не прав.
    • 0
      Уберите с сайта ФИО, ИНН, номер паспорта и прочие данные, которые могут однозначно идентифицировать человека и будет Вам счастье.
      • 0
        А как товар доставлять?
        • +2
          Встречаться в метро.
          «Наш курьер будет в зелёном шарфике, в руках — ваш холодильник» :)
    • 0
      Основная фишка в том что у вас не должно быть связанных данных. К примеру ФИО без привязки к адресу или телефону уже не будет являться персональными данными. Основной смысл в том что избегать каких либо привязок позволяющих установить однозначную привязку. Старайтесь по максимуму обезличивать данные.
      • +1
        Тут тоже не все так просто. Реальный пример: организация вела базу клиентов и вместо ФИО + ДР + Паспорт, использовала в ИСПДн номер (КОД). Кодом был номер бумажного документа который хранился в другом отделе, закрытый в сейфе, в бумагу были те самые ФИО + ДР + Паспорт.
        Была проверка со ФСТЭКом, ФСТЭК сказал, что можно определить человека, так как можно получить доступ к бумагам.
        • 0
          Я немного не понял, а при чем тут бумага? В законе же говорится только про автоматизигованную обработку, верно? Их же остальная документация по идее не должна интересовать?
          • +2
            Как объяснили нам ФСТЭК, это дополнительная информация (не важно на чем она) с помощью которой можно определить конкретного человека… ссылка на документ у нас в системе есть. Это реальный случай. Со ФСТЭКом сильно не поспорить.
            • 0
              Весьма любопытно. Спасибо.
          • 0
            Да ну? Читаем закон.

            информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;


            Для картотек и других бумажных хранилищ в законе есть соответствующие пункты.
            • 0
              Вы это ФСТЭКу попробуйте доказать :)
              • 0
                Объяснить что? Что ИСПДн бывают не только на компьютере? Они это прекрасно знают.
        • 0
          Код однозначно указывает на ФИО+ДР+Паспорт так что ничего удивительного :) Обезличенная форма обработки это когда нету прямой связи. А тут есть.
  • +5
    Добавьте в профиль пользователя поле «подробности интимной жизни» — и вы попали.
    • 0
      mamba.ru не позавидуешь. )))
  • +2
    Скажите плиз, а если используется OpenID, тогда что?
    • 0
      Я думаю, что тогда это не ваши проблемы, у вас же не хранится никакая информация, а только обрабатывается с согласия пользователя.
      • +1
        Ну так 152-й ФЗ именно про обработку персональных данных и говорит.
        На самом деле проще всего при регистрации сделать пунктик «Прошу считать мои персональные данные общедоступными.» Или что-то вроде этого. Тогда все автоматически идет под 4-ю категорию.
        • +1
          согласие должно быть письменным
          • +2
            Мы долго спорили на эту тему и в итоге пришли к выводу, что можно так делать. Потому что это в реальной фирме можно попросить сотрудника написать заявление. А в онлайне как так сделать?
            При установке ПО вы же ничего не подписываете, но тем не менее, принемаете пользовательское соглашение. Так и при регистрации необходимо в пользовательское соглашение просто включить данный пункт.

            Хотя, скажу честно, мнение ФСТЭКа по этому поводу не знаю.
            • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            В нескольких офертах видел такую формулировку.

            ===
            Оформляя Заказ на Сайте, Заказчик дает свое согласие ООО «Ромашка», на обработку различными способами, персональных данных, в том числе сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), распространение, передачу 3-им лицам, обезличивание, блокирование, уничтожение, трансграничную передачу своих персональных данных (ФИО, адрес, email, пол, телефон).
            ===

            Стоит галочка, мол согласен. И по оферте отпускается товар. Оферты пока вроде не запрещены, и ГК вроде пока тоже не отменен.
        • 0
          Я бы послал в ж* такую форму как конечный пользователь если увидел такую надпись. Покупаю я чего нить я в онлайн магазине ввожу фио карточку и тд, а тут бах и такая надпись.
          • 0
            Ну вы зря так резко. Иногда это и чисто с человеческой точки зрения будет справедливо и оправдано.
            Возьмем к примеру электросети. Ну узнает кто-то сколько я света нажег, ну и что с того? Как это мне может навредить? Шантажировать меня будут этим? А так как в БД крупных городов более 100 тысяч объектов ПДн, то ИСПДн автоматически попадает под 2-ю категорию. А это весьма серьезные суммы на аттестацию. Я считаю, бред полный.
          • +1
            > Я бы послал в ж* такую форму как конечный пользователь если увидел такую надпись.

            Будьте логичны: сначала вы как конечный пользователь должны послать в ж* то государство, в котором такой закон принят.

            А то вы, фактически, бъёте по самому последнему звену цепочки — которое и не виновато в принятии такого закона. Кроме того, вы бъёте по звену, которое пытается соблюдать закон.

            Или вы пойдёте искать магазин, который закон не соблюдает? Наличка, обналичка, кэш с рук/на руки, никаких банковских карточек, вы меня не видели, я вас не видел, персональных данных не брал??

            А то что сейчас — это у вас смещённая агрессия: виноват один, а по башке достаётся другому.
            • 0
              Смещенная агрессия. Новый термин. Возьму на вооружение.
  • +2
    То есть стотыщмильонов интернет-магазинов, которые отсылают заказы по почте, попали. Причём попали серьёзно, аж в класс 3.
  • +3
    вконтакту как обычно можно забить на сертификацию и аттестацию?
    • 0
      После 2-й проверки предприятию грозит штраф в полмиллиона и лишение лицензии на основной вид деятельности. Но это на бумаге.
      • –6
        Отобрать лицензию у ФСБ? Смешно же!
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Поддерживаю просьбу
      • 0
        с удовольствием бы, не хватает :(
      • 0
        перенёс
  • 0
    В посте ошибка относительно объемов персональных данных. Пропущено слово «либо», в данном случае оно ключевое, т.е. например: «одновременно обрабатываются персональные данные от 1 000 до 100 000 субъектов персональных данных ЛИБО работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования.»
    В некоторых случаях это очень сильно влияет на категорию (можно перейти от 2 к 3)
    • 0
      поправил. спасибо.
  • 0
    а вот у меня в телефоне есть записная книжка, там имена, фамилии и номера телефонов. По ним можно людей идентифицировать. Это какая категория? Мне сертифицироваться нужно?
    • +1
      Сбор и обработка персональных данных ДЛЯ ЛИЧНЫХ ЦЕЛЕЙ не регламентируются 152-ФЗ:

      2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
      1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;


      • 0
        да если вы будете собирать и не распространять или не будете предоставлять доступ к собранной информации сторонним лицам «если при этом не нарушаются права субъектов персональных данных;»
  • 0
    Честно говоря из определений оператора и обработки персональных данных четко не ясно кто конкретно за это отвечает. По закону это компания\физ лицо владеющее сайтом (ну так мне кажется), а по факту сбор осуществляет хостер (техплощадка его база его), ну и как бы он и должен получать все эти бумажки я считаю, хостеры толстые, пусть и занимаются ерундой, если ума не хватило вовремя написать письмо президенту.
    • 0
      Ну для этого уже есть http://habrahabr.ru/blogs/infosecurity/107450/
    • 0
      Хостинг по требованиям 152-ФЗ. А отвечаете за сбор информации Вы, а не хостер, на вас будет ответственность.
    • +1
      Отвечает за безопасность персональных данных то юридической лицо, которое определяло цели сбора и обработки — она оператор. Все остальные компании, оказывающие ей возмездные или безвозмездные услуги, тот же хостинг или, например, страхование или курьерская служба и т.д. — не операторы, а обработчики, хотя такого термина напрямую в действующем ФЗ нет (обещают скоро сделать — принять поправки).

      РосКомНадзор спрашивает о выполнении всех требований, перечисленных в 152-ФЗ с оператора, а уже его головная боль — предоставить доказательства, что обработка всех данных в фирмах, которым он предоставил персональные данные, производится в соответствии с законом. Крайний всегда тот, кто РЕШИЛ собирать данные.
  • 0
    Кстати сам ФСТЭК очень положительно относится к разного рода терминальным сессиям. Можно аттестовать один сервер, на нем держать нужные ПДн. Доступ у ограниченного круга лиц (регламентируется права доступа и тд). В зависимости от класса, возможно придется на клиентские машины ещё навешать Соболя, но это в разы дешевле чем аттестовать каждение место по полной.
  • +4
    Спасибо, что подняли тему на Хабре, но прошу Вас скорректировать разделы «Обязательные требования по защите информационных систем персональных данных» и «Когда аттестация и сертификация обязательна?».

    Они базируются на методических документах ФСТЭК, «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» и «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», отмененных решением ФСТЭК России от 5 марта 2010 г. в связи с утверждением «Положения
    о методах и способах защиты информации в информационных системах персональных данных» 5 февраля 2010 г. приказом № 58.

    Отмененные документы содержали упомянутые Вами пункты об обязательной аттестации и лицензировании, которые не вполне соответствовали законодательству РФ.

    Очень важное требование содержится в п. 5 Постановления Правительства РФ от 17.11.2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», который устанавливает необходимость использования сертифицированных СЗИ: «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия».

    В то же время, требование обязательной аттестации ИСПДн в настоящее время в документах, регламентирующих защиту ПДн, не содержится, хотя на практике аттестация широко применяется, как завершающий этап мероприятий по защите ПДн.
    • 0
      Тут двоякая ситуация, документы не отменены, а как сказано в решении: «не применять с 15 марта 2010 г.»
      Также у ФСТЭКа есть регламентирующие документы в статусе ДСП (Для служебного пользования) с которыми многие даже не знакомы. Если у Вас есть эти документы буду Вам очень признателен если Вы отправите ссылочку.
      • +3
        Это как раз четырехкнижие (Рекомендации, Основные мероприятия, Методика и Базовая модель) и было ДСП до где-то осени 2009. Потом ФСТЭК сделал так называемые «выписки» из документов, исключив детали, касавшиеся ПЭМИН и т.д. и выложил четырехкнижие в открытый доступ. А потом был принят 58 приказ, а 2 первых документа четырехкнижия, как Вы правильно заметили, ФСТЭК решил «не применять». Их, по-моему, и на сайте ФСТЭК сейчас уже нет. Соответственно, как мне кажется (и как сделано основными игроками в этой области), имеет смысл в первую очередь отражать требования Приказа (он, кстати, зарегистрирован в Минюсте, в отличие от старого четырехкнижия, правовой статус которого активно и небезосновательно оспаривался весь 2009 г.) и постановлений правительства.
        Я просто не вижу смысла возвращаться на год назад — на тот момент уже было ясно, что нагороженный огород нужно как-то разгребать, и были приняты правильные, хотя и недостаточные меры — снятие грифа ДСП, принятие Приказа и отмена применения Рекомендаций и Основных мероприятий. Конечно, если писать монографию на эту тему, то полезно было бы затронуть историю четырехкнижия и изменения их правового статуса, но в кратком FAQ необходимо, как мне кажется, базироваться на актуальных и должным образом введенных в действие документах.
  • 0
    > год рождения (для женщин)
    Дискриминация по полу? А вообще год рождения же выше упомянут.
    • 0
      Если на сайте нет ФИО, ИНН, номера паспорта и т.д., что может однозначно идентифицировать человека, тогда год рождения сути не меняет, это не ПД.
  • +1
    Сайты знакомств по ходу попали…
    • +2
      И сайты с резюме тоже
      • 0
        ну и соц. сети тогда =).
        • –4
          ваааще все попали на
      • 0
        я так понимаю и сайты по поиску работы…
  • 0
    Подскажите, какой минимальный набор признаков является персональными данными? И как его обойти?

    Например, если не спрашивать на сайте отчество человека, то это не ПД?
    • +3
      необязательно. Может быть уникальная ФИ, которой в стране/регионе (указанном в профиле) нет больше, соответственно, однозначно идентифицирует. Фамилию лучше не спрашивать :).
      • 0
        если невозможно определить принадлежность персональных данных конкретному субъекту. ПО ФИ нельзя конкретно определить человека
        • 0
          Зависит от того, какие данные указаны. Если ФИ + дата рождения или ФИ + телефон, тогда можно.
          • 0
            Как уже написано ниже в комментариях «На этот вопрос не знают однозначного ответа ни законодатели ни РосКомНадзор.».
            может так получится что ФИ + ДР может оказаться несколько, что не позволит идентифицировать конкретного, НО ТАКЖЕ может и одна только ФИО (если такой человек с такими ФИО уникальны) уже позволит узнать конкретного человека
            • 0
              В законе больше вопросов, чем ответов. Я бы не стал рисковать с фамилией, если регистрировать ИСПД не собираетесь, а БД с ПД хранить на хостинге/сервере в другой стране.

              P.S. По адресу по идее тоже можно определить уникально, если И+адрес например?
              • 0
                Вообще ПДн — это данные, позволяющие идентифицировать личность. По идее, этими данными может быть хоть адрес, хоть рост.
                • 0
                  И даже IP-адрес со временем выхода в сеть, в случае, если это белый IP.
                  Так что попали и многие операторы.
                  • 0
                    Хотя недавно суд в Питере сформулировал, что «номер паспорта или свидетельства о рождении является не данными о субъекте, а данными о документе, удостоверяющем этого субъекта, а следовательно не относится к персональным данным».

                    Но это конечно тоже локальный перегиб, и я полагаю будет еще один (а может и не один) суд высшей инстанции.
    • +2
      Если например только Фамилия Имя Отчество то данные будут обезличены, по ним не возможно идентифицировать конкретного человека. "обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;" 152-ФЗ п.3
    • +2
      На этот вопрос не знают однозначного ответа ни законодатели ни РосКомНадзор. Сколько людей столько мнений. Вас должно интересовать только мнение того регионального отделения РКН, которое может прийти Вас проверять.

      Совсем точно по букве закона — как только в базе появился набор уникально идентифицирующий человека (например, очень редкое сочетание имени и фамилии), всю базу необходимо считать ИСПДн. Но это маразм.

      Можно попробовать считать только количество таких уникальных записей, снижая этим подсчетом класс например до К3. Но никто не знает как это технически сделать.

      На местах при проверках принимается множество самых различных решений.
      Вот здесь постоянно публикуются отчеты и разъяснения результатов проверок:
      community.livejournal.com/personal_data/
      • +1
        Ответы на вопросы лучше на форуме ФСТЭКа искать. Там несколько веток по ПДн есть. Да и вообще на этом форуме очень образованные люди частенько пишут.
      • 0
        Представим сайт, где некоторое онлайн-сообщество собирает базу себе подобных — будь то список жителей двора, друзей по детскому саду, сослуживцев. С чисто ностальгическими целями.

        Сайт хостится за рубежом, и даже не в домене .ru.
        База целиком — только для залогиненных.
        Но для полноты базы участники сами вносят данные за других («Вот был у нас еще такой Петр Петрович Иванов»).

        Как еще уйти из-под требований ФЗ?
        Трактор не предлагать. ;)
        • 0
          Сайт хостится не в РФ — вопросов со стороны регуляторов быть не может.
          • +1
            Что является ключевым — «не в зоне .ru» или «хостится за рубежом»? Или допустим, «сайт этого онлайн-сообщества и хостинг оплачиваются с юрлица дяди Васи, который живёт и работает в РФ гендиректором небольшой частной фирмы и хостит этот проект для себя и нескольких своих друганов»?
            • +2
              Физически персональные данные находятся за пределами РФ (хостятся за рубежом), стало быть, относительно сервера, надо соблюдать законодательство того государства, а не РФ.
  • 0
    jazvenko, спасибо за очень интересный и своевременный пост. Информация собрана и доходчиво раскрыта.
  • +5
    мне кажется, интернет-магазины могут спрашивать не ФИО, а «как вас называть» и не «адрес прописки», а «адрес, куда доставить». Это, судя по всему, будет не идентифицирующими данными, поскольку я могу написать «называйте меня Меркиз Карабас» и «Доставьте в 12 часов к супермаркету Ашан на улице ....». По крайней мере — будем смотреть на практику применения, а не на расплывчатую теорию.

    Ну и лишний раз власть показывает антинародную сущность под соусом «защиты».
    • 0
      от смены названий сущность не меняется :).
    • 0
      Власть как обычно, взяли документы других стран, перевели, состыковали абы как и приняли. Это ж все для ЕвроСоюза :). До сих пор есть разногласие в части документах по поводу Автоматической и Автоматизированной системы. Из за неправильного переводя документы другу другу противоречат.
    • 0
      Любопытно, будут ли потом в газетах и на телевидении (в передаче «милицейские хроники») писать в сюжете «вчера на улице… возле магазина Ашан пострадал некий Меркиз Карабас, который получил 4 ножевых ранения от двух неизвестных, получивших несанкционированный доступ к базе онлайн-магазина...»? )))
  • 0
    То есть теперь любое маленькое юр.лицо с бухгалтерской/кадровой базами попадает в класс 3 и обязано пройти аттестацию?
    • 0
      ну тут с кадрами легче можно при оформлении на работу брать с работников бумагу о том что они согласны на обработку своих ПДн
    • 0
      По идее бухгалтерские и кадровые данные, где помимо ФИО есть и адрес, и зарплата, и данные о семье, попадают под 2-й класс.
      А если еще медицинские книжки есть с больничными листами и, не дай бог, диагнозами, то уже 1-й.

      Опять же можно попросить/заставить каждого сотрудника написать заявление, где бы он говорил, что считает свои данные общедоступными и согласен на их обработку в ИСПДн.
      • 0
        ФИО, адрес, зарплата и данные о семье — это 2-ая категория, а не класс ИСПДн. Не путайте людей.
        Класс любой кадровой ИСПДн (при отсутствии медицинских данных) — К3.
  • +1
    а информация в whois? там всё есть обо мне…
    • +1
      whois не пройдёт аттестацию…
  • 0
    Данные соц. сетей под этот бред подпадают? Насколько я понимаю реальность анкет там никто не гарантирует.
  • +7
    Увы, нужно предупредить, что автор ориентировался на «четырёхкнижие ФСТЭК», которое Решением ФСТЭК было частично отменено (осталась «Базовая модель угроз» и «Методика определения актуальных угроз»). Сейчас по техническим требованиям по защите ПДн актуален Приказ ФСТЭК № 58 от какого-то февраля или марта 2010 г.
    Что существенно неправда:
    — что аттестация требуется для ИСПДн от 2-го класса, или 3-го распределённых;
    — что операторы должны получать лицензию на ТЗКИ (сейчас нет однозначного и чёткого ответа от ФСТЭК по этому вопросу, или туманные намёки. что надо, или где-то говорят, что надо, где-то — что нет);
    — что обязательно надо применять сертифицированные СЗИ.
    — что «Основные мероприятия» действуют;
    Чего нет в статье:
    — что для банков эти правила не действуют, совершенно официально (см. «Письмо шести» на сайте ЦБ), если банки у себя принимают Стандарт Банка России);
    — перечня необходимых организационно-распорядительных документов для организации защиты ПДн (хотя бы перечня, без типовых форм);
    — никаких полезных ссылок
    — нет перечня нормативно-правовых документов, регламенитрующих обработку и защиту ПДн (ФЗ 152, поправки к нему, Постановление Правительства № 781, Постановление Правительства № 687, «Приказ трёх» № 55, Приказ ФСТЭК № 58, Решение ФСТЭК об отмене двух документов из «четверокнижия», оставшиеся два документа — как минимум).
    Что не раскрыто:
    — Как относить системы к типовым (а такое понятие используется) и к специальным? Как быть, что все системы реально специальные, как их классифицировать?
    — Какая именно уголовная ответственность и за что будет?:-) Были ли прецеденты?
    — Вообще, какие известны реальные прецеденты с проблемами по защите ПДн («наезды» Роскомнадзор, плановые проверки ФСТЭК, жалобы субъектов и т.д. и т.п.)?
    — Что порядок действий оператора иногда целесообразно делать иным (уведомление делать в последнюю очередь, т.к. так не попадёшь в реестр, а значит, и в план проверок).
    В целом, статья вредная, т.к. вводит в заблуждение читателей, а полезная информация в ней — термины и порядок классификации — любой может найти в ФЗ и подзаконных актах.
    • 0
      подскажите куда можно кинуть документы я постараюсь опубликовать, то что у меня есть в том числе и типовые формы
    • 0
      Да бросьте вы, вредная статья. Как показывают коменты, многие даже не слышали про 152-й ФЗ и не знали о данной проблеме. Теперь, хотя бы ознакомлены и введены в курс дела, и если прижмет пойдут штудировать методики и руководящие документы.
      • 0
        ну вот а тут они все уже будут :) я в свое время очень долго все это искал. Этож Хабра тут все должно быть ;)
    • 0
      Согласен с Вашими замечаниями к материалу, сам указал на некоторые пункты, но правда, полное раскрытие пунктов потянет уже не на краткий FAQ, а, как минимум, на хорошую статью ;)
      Вопрос — на чем Вы основываетесь, утверждая, что применение сертифицированных СЗИ не обязательно? Я выше приводил п. 5 пп № 781. Я не в порядке наезда, мне действительно интересно обоснование Вашей позиции ;)
      • 0
        Это вопрос трактовки, но в Приказе ФСТЭК № 58 нет слова «обязательно» и применение сертифицированных СЗИ рекомендовано, как один из методов защиты информации, который может применяться, а может не применяться.
      • 0
        Во ФСТЭКовском документе «Основные мероприятия по обеспечению безопасности ПДн, обрабатываемых в ИСПДн» использовать сертифицированные СЗИ обязывают только при первом классе ИСПДн.

        В остальных случаях разрешается применять несертифицированные СЗИ. При этом необходимо во-первых обосновать невозможность либо нецелесообразность применения сертифицированных СЗИ, а во-вторых исследовать несертифицированные СЗИ на соответствие стандартам. При этом ни в одном документе не прописан порядок исследования!

        Поэтому на практике проще использовать только сертифицированные СЗИ.
        • +1
          Повторюсь, «Основные мероприятия» решением ФСТЭК не применяются с марта 2010 г.

          Я (и не только я) исхожу из постановления правительства № 781 от 17.11.2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», п. 5: «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия».

          Закон №184-ФЗ “О ТЕХНИЧЕСКОМ РЕГУЛИРОВАНИИ”:
          Ст. 2: “оценка соответствия – прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
          подтверждение соответствия — документальное удостоверение соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров"
          Ст. 20. Формы подтверждения соответствия
          "…
          2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
          3. Обязательное подтверждение соответствия осуществляется в формах:
          принятия декларации о соответствии (далее — декларирование соответствия);
          обязательной сертификации.
          4. Порядок применения форм обязательного подтверждения соответствия устанавливается настоящим Федеральным законом".

          Но с Вашим финальным выводом я согласен!
  • +1
    Ответ на многие вопросы:
    Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
    Вообще по умолчанию если субъект ПД сам предоставляет эти данные он как минимум согласен + оферта на сайте при регистрации о том что его ПД будут такто и такто использоваться и ни каких проблем.
  • 0
    Не могу пройти мимо: по мнению экспертов ИТ и ФСТЭК, любая система автоматизированной обработки ПДн в электронном виде — специальная. Точка.

    Поэтому абзац про типовые ИСПДн можно было не писать.

    А в специальных системах модель угроз и меры предотвращения разрабатываются самостоятельно оператором ПДн

    И вообще, ждем принятия законопроекта Резника. А то с 2011 года как опять все поменяется…
  • +1
    Если сайт хостится заграницей, он попадает под требования этого ФЗ?
  • +1
    Фотографии-аватары куда относить? Или это к ним не относиться?
    • +1
      Есть такой ГОСТ Р ИСО/МЭК 19794-5-2006. Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица.

      На него очень любят ссылаться все, в т.ч. РосКомНадзор. Там определены достаточно жесткие требования к тому, как должна быть сделана фотография, чтобы по ней было теоретически возможно автоматическое распознавание (например, углы поворота по всем осям не должны превышать 5 градусов, горизонтальный размер между центрами глаз — не менее 90 пикселей, динамический диапазон по яркости — не менее 7 бит, и еще много чего).

      Фото из паспортов и пропусков в целом попадают под него, а вот аватары — ну может 5-10% — не больше.

      Считать ли ИСПДн базу, частично содержащую подобные фото — вопрос, как я говорил выше, на который не знают ответа и законодатели и надзорные органы.:
      habrahabr.ru/blogs/infosecurity/107576/#comment_3394916
  • +1
    меня волнует бухгалтерия. да и думаю это более распространенный вид сбора информации, который есть в каждой фирме.

    что нужно делать им?

    получается, нужно просто всем сотрудникам подписать бумажки, что они согласны на обработку информации? Уведомлять органы нужно будет или нет?

    А если у этой фирмы есть «дисконтные карточки», которые выдаются посетителям и которые заполняли анкеты — это уже «категория 3» получается? Или тут тоже можно, включить пунктик, как с бухгалтерией и жить спокойной?
    • 0
      Что Вы понимаете под бухгалтерией? Персональные данные собственных сотрудников или клиентов?
      Если Ваши клиенты — юр.лица, можете не беспокоиться, сведения вносимые в ЕГРЮЛ и ЕГРИП считаются общедоступными.
      Если же Ваши клиенты — физ.лица или если Вы обрабатываете автоматизированно персональные данные сотрудников, то подавать уведомление в РосКомНадзор обязательно. Вне зависимости от того, подпишут Ваши сотрудники бумажки или нет.

      Заставить признать свои персональные данные общедоступными ни сотрудников ни клиентов нельзя — т.к. право на сведения о частной жизни являются конституционными и так называемо «неотделимыми». Любой подобный документ будет признан нарушающим Конституцию — об этом открыто заявляет РосКомНадзор.

      Действительно ли Вам нужны в дисконтных картах уникально идентифицирующие клиента поля? Возможно достаточно ФИО (которые считаются общедоступными) (без адреса и паспортных данных !)?

      Если же Вы действительно идентифицируете клиента, то категория здесь скорее 2-ая (хотя если очень мало прочей информации, то можно попробовать выйти на 3-юю), ну а класс определяется по табличке — в зависимости от того, сколько у Вас клиентов либо как они географически расположены — он может выйти и К3 и К2 и К1.
      • 0
        насчет бухгалтерии — это личные данные сотрудников фирмы — кадры.
        с ними как быть? не нужно подавать заявку?

        а насчет дисконтных карточек — там идет ФИО, телефон (который наверное уже считается не общедоступным?), адрес домашний.
        это уже категория 2а и нужно подавать заявку?
        • +1
          Согласие у сотрудников в письменном виде нужно брать, если есть хотя бы одно из следующего:
          а) Вы включаете их персональные данные (ФИО, другие) в общедоступные справочники (например, телефонные или на сайте);
          б) Вы передаете их персональные данные третьим лицам, не перечисленным явно в федеральных законах (например, ОМС есть в ФЗ, а вот ДМС — нет, военкоматы и налоговая — есть, а консалтинговых агентств — нет);
          в) Вы храните сведения, касающиеся их состояния здоровья или национальности (не путать с гражданством).

          Уведомлять РосКомНадзор о базе собственных сотрудников не обязательно (см.ниже в этом же посте, соответственно во вчерашнем сообщении я был немного неправ).

          Про клиентов:
          ФИО+адрес — уникально идентифицирующая информация — 3-яя категория,
          ФИО+адрес+телефон — уже дополнительная информация — 2-ая категория.

          Уведомление в РосКомНадзор подавать про такую базу клиентов нужно, если только у Вас нет с ними договорных отношений. (Можно было бы не подавать, если была бы 4-ая — неуникальная идентификация).

          По поводу исключений:
          2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

          1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
          2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

          4) являющихся общедоступными персональными данными;
          5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;


  • –4
    Зачем вы свою статью написали с использованием font color="#000000"? Он по умолчанию и так чёрный.
  • 0
    Может и поздно сюда уже писать, но все же спрошу.
    Типичная ситуация, когда после мероприятий приходишь с визитками и вводишь их в систему. Не для личного пользования, а в конечном итоге все партнеры-заказчики доступны многим людям в организации (менеджеры, маркетологи...)
    Типичные данные — Фамилия, Имя, Отчество, Организация, Должность,email, Телефон.
    Понятное дело, что при передаче визитки или даже при входящем письме (после чего из подписи присланного письма данные вносятся в базу) никаких галочек «согласен с обработкой ПДН» не ставится, ничего не подписывается.
    Это перс данные? Можно ли их сделать 4 класса (общедоступные) или сразу 3 класс?

    Если после мероприятия мы получаем от, к примеру, IDC список участников (примерно в таком же формате) — это значит мы получили персданные и сразу же «попадаем»? Разумеется, от участников мы не получали никких разрешений на использование этих данных…

    Можно ли что-то с этим сделать?
    Выпустить внутренние документы — нормально, а вот лицензии ФСТЭК получать ну очень не хочется.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.