Информационный проект «Персональные данные»

ФСБ России разработала проекты постановлений в сфере законодательства о персональных данных

Федеральная служба безопасности Российской Федерации подготовила проекты нормативных правовых актов в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

ФСБ России опубликовала на официальном сайте (http://www.fsb.ru/fsb/npd/prna.htm) проекты подзаконных нормативных правовых актов, которые, во исполнение Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее — 152-ФЗ), устанавливают уровни защищенности персональных данных при их обработке в информационных системах персональных данных и требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности.

В частности Проект постановления Правительства Российской Федерации «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных» определяет уровни угроз, типы информационных систем по обрабатываемым в них определенным категориям персональных данных, понятие актуальности угроз, а также их уровни.

Также данный проект указывает на обязанность оператора персональных данных, в соответствии со 152-ФЗ, определить тип угроз и произвести оценку вреда субъектам персональных данных. Кроме того в документе присутствует сопоставление уровней защищенности типам информационных систем персональных данных.

В то время как Проект Постановления Правительства Российской Федерации «О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных» устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных и возлагает на операторов обязанность обеспечения безопасности персональных данных при их обработке в информационных системах. В частности присутствует указание на необходимость создания системы защиты персональных данных, нейтрализующей актуальные угрозы, определяет содержание такой системы, а именно — организационные и (или) технические меры, которые должны определяться с их учетом. Определены требования к обеспечению одного из четырех уровней защищенности. Также следует отметить, что оператору предоставляется свобода в выборе средств защиты персональных данных и определении сроков проведения контроля над исполнением указанных в данном проекте документа требований с оговоркой, что проведение контроля не может проходить реже, чем один раз в три года.