П О Л О Ж Е Н И Е
об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
http://www.government.ru/government/gov ... 458765.htm
ППРФ № 781 от 17.11.07: Обработка персональных данных
Сообщений: 53
• Страница 1 из 3 • 1, 2, 3
- Подвижный
- Форумчанин
- Сообщения:
1067 - Зарегистрирован:
10 янв 2007 - Благодарил (а): 169 раз.
- Поблагодарили: 130 раз.
ППРФ № 781 от 17.11.07: Обработка персональных данных
Сообщение:#1 
Подвижный » Вт 20 ноя, 2007 10:46 »
П О Л О Ж Е Н И Е
об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
http://www.government.ru/government/gov ... 458765.htm
- Связной (С)
- Форумчанин
- Сообщения:
18674 - Изображения: 39
- Зарегистрирован:
21 апр 2005 - Откуда:
Мыс Шмидта - Благодарил (а): 663 раз.
- Поблагодарили: 751 раз.
Об утверждении Положения об обеспечении безопасности персона
Сообщение:#2 Связной (С) » Ср 21 ноя, 2007 05:14 »
Постановление от 17 ноября 2007 г. № 781
Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.
2. Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением.
Председатель Правительства
Российской Федерации В.Зубков
УТВЕРЖДЕНО
постановлением Правительства
Российской Федерации
от 17 ноября 2007 г. N 781
П О Л О Ж Е Н И Е
об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.
4. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.
5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
6. Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.
Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации.
7. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
8. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
9. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.
11. При обработке персональных данных в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.
13. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.
14. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.
15. Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.
16. При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
17. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.
В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами информационных систем, а под контрольными тематическими исследованиями - периодически проводимые тематические исследования.
Конкретные сроки проведения контрольных тематических исследований определяются Федеральной службой безопасности Российской Федерации.
18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.
20. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
21. Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.
Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.
2. Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением.
Председатель Правительства
Российской Федерации В.Зубков
УТВЕРЖДЕНО
постановлением Правительства
Российской Федерации
от 17 ноября 2007 г. N 781
П О Л О Ж Е Н И Е
об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.
4. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.
5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
6. Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.
Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации.
7. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
8. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
9. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.
11. При обработке персональных данных в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.
13. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.
14. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.
15. Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.
16. При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
17. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.
В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами информационных систем, а под контрольными тематическими исследованиями - периодически проводимые тематические исследования.
Конкретные сроки проведения контрольных тематических исследований определяются Федеральной службой безопасности Российской Федерации.
18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.
20. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
21. Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.
- Связной (С)
- Форумчанин
- Сообщения:
18674 - Изображения: 39
- Зарегистрирован:
21 апр 2005 - Откуда:
Мыс Шмидта - Благодарил (а): 663 раз.
- Поблагодарили: 751 раз.
Сообщение:#3 Связной (С) » Ср 21 ноя, 2007 05:19 »
Так что, операторам теперь это все в обязаловку делать?
Связной (С) писал(а):Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
- Связной (С)
- Форумчанин
- Сообщения:
18674 - Изображения: 39
- Зарегистрирован:
21 апр 2005 - Откуда:
Мыс Шмидта - Благодарил (а): 663 раз.
- Поблагодарили: 751 раз.
Сообщение:#4 Связной (С) » Пт 23 ноя, 2007 11:10 »
Безопасность персональных данных разъяснит ФСБ
Персональные данные россиян стали чуть более защищенными. В опубликованном на днях правительством РФ положении о безопасности персональных данных указано, какие государственные органы разработают нормативы и напишут методички к соответствующему закону, и в какой срок они это сделают. Заниматься этим будут, в основном, Федеральная служба по техническому и экспортному контролю вместе с ФСБ.
Свободно обращаемые в рознице базы ГИБДД, сотовых абонентов, банковских вкладчиков и кредиторов потрясли российскую власть и общество настолько, что «Закон о персональных данных» стал едва ли не желанным. Но, хотя принят он был еще полтора года назад, а в силу вступил в январе 2007 г., чувство защищенности он давал довольно абстрактное. В отсутствие нормативной и методической базы к Закону, понимания, как его исполнять, не было ни у «операторов персональных данных» (под понятие которых подпадают не только банки и страховые компании, но и отделы кадров любых предприятий), ни у уполномоченного ведомства — Россвязьохранкультуры.
20 ноября ситуация несколько изменилась. Правительство издало документ со сложным названием «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Премьер-министр России Виктор Зубков подписал его 17 ноября 2007 г., а 20-го текст документа был опубликован на сайте Правительства РФ.
Дочитав документ до конца, можно узнать, кто отвечает за разработку нормативной базы к «Закону о персональных данных» в части хранения и обработки персональных данных при помощи «средств автоматизации». Весь норматив, упоминаемый в «Положении», правительство поручило написать Федеральной службе по техническому и экспортному контролю (ФСТЭК) и ФСБ России.
Эти ведомства установят методы и способы защиты информации в информационных системах; определят каналы утечки информации при обработке персональных данных; оценят исследования средств защиты данных; согласуют правила пользования средствами защиты информации и определят перечень индексов, условных наименований и регистрационных номеров для учета средств защиты информации.
Классификацию информационных систем они проведут совместно с Минсвязи России, а вопросами производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации ФСБ займется в одиночку.
Нормативную базу к «Закону о персональных данных» будут разрабатывать ФСБ И ФСТЭК
Нормотворческая работа должна быть завершена в трехмесячный срок, и 18 февраля 2008 г. весь пакет актов к «Закону о персональных данных» будет написан и утвержден.
С просьбой прокомментировать ситуацию с законом CNews обратился к юристам. Людмила Терещенко, начальник Отдела административного законодательства в Институте законодательства при Правительстве РФ, не усмотрела ничего страшного в том, что вступивший в силу год с лишним назад, долгожданный «Закон о персональных данных» не работает в силу отсутствия нормативов и методичек: «Это обычная практика. Например, „Закон об электронно-цифровой подписи“ был опубликован в начале 2002 г., а уполномоченный орган по его исполнению был назначен только в середине 2003 г.», — напомнила она CNews.
Марина Карелина, научный сотрудник Российской академии правосудия, уверена, что, хотя «Закон о персональных данных» будет более года существовать без инструкций, это, при необходимости, не лишит граждан правовой защиты. «У нас законы имеют прямое действие. Если права гражданина в части безопасности его персональных данных нарушены, суд будет руководствоваться „Законом о персональных данных“, — сказала она. — С другой стороны, тем, кто добросовестно оперирует с базами персональных данных, вряд ли стоит опасаться, что кто-то истолкует Закон чрезмерно расширительно. Во всяком случае, мне таких прецедентов не известно».
Адрес новости:
http://www.cnews.ru/news/top/index.shtm ... /22/276134
CNews.ru: Главные новости
22.11.2007, 10:27:52
Персональные данные россиян стали чуть более защищенными. В опубликованном на днях правительством РФ положении о безопасности персональных данных указано, какие государственные органы разработают нормативы и напишут методички к соответствующему закону, и в какой срок они это сделают. Заниматься этим будут, в основном, Федеральная служба по техническому и экспортному контролю вместе с ФСБ.
Свободно обращаемые в рознице базы ГИБДД, сотовых абонентов, банковских вкладчиков и кредиторов потрясли российскую власть и общество настолько, что «Закон о персональных данных» стал едва ли не желанным. Но, хотя принят он был еще полтора года назад, а в силу вступил в январе 2007 г., чувство защищенности он давал довольно абстрактное. В отсутствие нормативной и методической базы к Закону, понимания, как его исполнять, не было ни у «операторов персональных данных» (под понятие которых подпадают не только банки и страховые компании, но и отделы кадров любых предприятий), ни у уполномоченного ведомства — Россвязьохранкультуры.
20 ноября ситуация несколько изменилась. Правительство издало документ со сложным названием «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Премьер-министр России Виктор Зубков подписал его 17 ноября 2007 г., а 20-го текст документа был опубликован на сайте Правительства РФ.
Дочитав документ до конца, можно узнать, кто отвечает за разработку нормативной базы к «Закону о персональных данных» в части хранения и обработки персональных данных при помощи «средств автоматизации». Весь норматив, упоминаемый в «Положении», правительство поручило написать Федеральной службе по техническому и экспортному контролю (ФСТЭК) и ФСБ России.
Эти ведомства установят методы и способы защиты информации в информационных системах; определят каналы утечки информации при обработке персональных данных; оценят исследования средств защиты данных; согласуют правила пользования средствами защиты информации и определят перечень индексов, условных наименований и регистрационных номеров для учета средств защиты информации.
Классификацию информационных систем они проведут совместно с Минсвязи России, а вопросами производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации ФСБ займется в одиночку.
Нормативную базу к «Закону о персональных данных» будут разрабатывать ФСБ И ФСТЭК
Нормотворческая работа должна быть завершена в трехмесячный срок, и 18 февраля 2008 г. весь пакет актов к «Закону о персональных данных» будет написан и утвержден.
С просьбой прокомментировать ситуацию с законом CNews обратился к юристам. Людмила Терещенко, начальник Отдела административного законодательства в Институте законодательства при Правительстве РФ, не усмотрела ничего страшного в том, что вступивший в силу год с лишним назад, долгожданный «Закон о персональных данных» не работает в силу отсутствия нормативов и методичек: «Это обычная практика. Например, „Закон об электронно-цифровой подписи“ был опубликован в начале 2002 г., а уполномоченный орган по его исполнению был назначен только в середине 2003 г.», — напомнила она CNews.
Марина Карелина, научный сотрудник Российской академии правосудия, уверена, что, хотя «Закон о персональных данных» будет более года существовать без инструкций, это, при необходимости, не лишит граждан правовой защиты. «У нас законы имеют прямое действие. Если права гражданина в части безопасности его персональных данных нарушены, суд будет руководствоваться „Законом о персональных данных“, — сказала она. — С другой стороны, тем, кто добросовестно оперирует с базами персональных данных, вряд ли стоит опасаться, что кто-то истолкует Закон чрезмерно расширительно. Во всяком случае, мне таких прецедентов не известно».
Адрес новости:
http://www.cnews.ru/news/top/index.shtm ... /22/276134
CNews.ru: Главные новости
22.11.2007, 10:27:52
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
ППРФ № 781 от 17.11.2007г:обеспечении безопасности персонал
Сообщение:#5 5611 » Пт 23 ноя, 2007 16:13 »
Правительство издало постановление о защите персональных данных предпринимателей. Постановление от 17 ноября 2007 г. № 781 устанавливает Положение об обеспечении безопасности персональных данных при их обработке в информационных системах. Имеются в виду личные данные предпринимателей, находящиеся в распоряжении госструктур.
В частности, работа с закрытыми индивидуальными сведениями граждан должена вестись только по особо защищенным каналам связи. Высокие требования предъявляются к спецоборудованию и организации охраны помещений, в которых работают с персональными данными. Требуется полностью исключить возможность проникновения и нахождения в хранилищах данных и помещениях для работы с данными посторонних лиц.
Ответственными за реализацию этого Положения назначены ФСБ и Федеральная служба по техническому и экспортному контролю, которые за три месяца должны утвердить нормативные правовые акты и методические документы, необходимые для выполнения этих требований.
http://www.spmag.ru/novosti/novosti/pra ... d=88888893
В частности, работа с закрытыми индивидуальными сведениями граждан должена вестись только по особо защищенным каналам связи. Высокие требования предъявляются к спецоборудованию и организации охраны помещений, в которых работают с персональными данными. Требуется полностью исключить возможность проникновения и нахождения в хранилищах данных и помещениях для работы с данными посторонних лиц.
Ответственными за реализацию этого Положения назначены ФСБ и Федеральная служба по техническому и экспортному контролю, которые за три месяца должны утвердить нормативные правовые акты и методические документы, необходимые для выполнения этих требований.
http://www.spmag.ru/novosti/novosti/pra ... d=88888893
- 5611
- Форумчанин
- Сообщения:
7444 - Зарегистрирован:
11 ноя 2005 - Откуда:
Ярцево - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#7 5611 » Пн 26 ноя, 2007 12:08 »
Постановление от 17 ноября 2007 г. # 781 Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.
2. Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением.
Председатель Правительства
Российской Федерации В.Зубков
УТВЕРЖДЕНО
постановлением Правительства
Российской Федерации
от 17 ноября 2007 г. N 781
П О Л О Ж Е Н И Е
об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.
4. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.
5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
6. Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.
Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации.
7. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
8. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
9. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.
11. При обработке персональных данных в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.
13. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.
14. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.
15. Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.
16. При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
17. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.
В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами информационных систем, а под контрольными тематическими исследованиями - периодически проводимые тематические исследования.
Конкретные сроки проведения контрольных тематических исследований определяются Федеральной службой безопасности Российской Федерации.
18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.
20. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
21. Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.
http://www.government.ru/government/gov ... 458765.htm
В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемое Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.
2. Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением.
Председатель Правительства
Российской Федерации В.Зубков
УТВЕРЖДЕНО
постановлением Правительства
Российской Федерации
от 17 ноября 2007 г. N 781
П О Л О Ж Е Н И Е
об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).
Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.
4. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.
5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.
6. Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.
Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации.
7. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
8. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
9. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.
11. При обработке персональных данных в информационной системе должно быть обеспечено:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.
12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.
13. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.
14. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.
15. Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.
16. При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
17. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.
В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами информационных систем, а под контрольными тематическими исследованиями - периодически проводимые тематические исследования.
Конкретные сроки проведения контрольных тематических исследований определяются Федеральной службой безопасности Российской Федерации.
18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.
20. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
21. Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.
http://www.government.ru/government/gov ... 458765.htm
- Связной (С)
- Форумчанин
- Сообщения:
18674 - Изображения: 39
- Зарегистрирован:
21 апр 2005 - Откуда:
Мыс Шмидта - Благодарил (а): 663 раз.
- Поблагодарили: 751 раз.
Сообщение:#9 Связной (С) » Вт 27 ноя, 2007 05:13 »
Вот-вотJK писал(а):вроде была уже такая тема
ПП РФ 781
Только она очутилась в разделе "Терминология электросвязи"...
- Связной (С)
- Форумчанин
- Сообщения:
18674 - Изображения: 39
- Зарегистрирован:
21 апр 2005 - Откуда:
Мыс Шмидта - Благодарил (а): 663 раз.
- Поблагодарили: 751 раз.
Сообщение:#10 Связной (С) » Вт 27 ноя, 2007 07:55 »
Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия /Россвязьохранкультура/ планирует в январе-феврале 2008 г завершить формирование реестра операторов, осуществляющих обработку персональных данных. Об этом говорится в сообщении Россвязьохранкультуры.
Реестр формируется во исполнение требований пункта 4 статьи 25 федерального закона от 27 июля 2006 г "О персональных данных". Как говорится в сообщении ведомства, с 20 ноября в территориальные органы Россвязьохранкультуры от государственных органов, юридических и физических лиц стали активно поступать уведомления на обработку персональных данных.
Как отмечается в сообщении Россвязьохранкультуры, государственные органы, юридические и физические лица, не попавшие в реестр, после 1 января 2008 г не вправе обрабатывать персональные данные.
Как сообщал ПРАЙМ-ТАСС, принятый в июле 2006 г федеральный закон "О персональных данных" регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными, региональными и местными органами власти, юридическими и физическими лицами с использованием средств автоматизации или без их использования.
В законе определены основные принципы и условия обработки персональных данных. В частности, отмечается, что персональные данные должны храниться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки или утраты необходимости их достижения.
Действие закона не распространяется на отношения, возникающие при: обработке персональных данных физическими лицами исключительно для личных и семейных нужд; хранении и использовании содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ; сведений о физических лицах, подлежащих включению в единый государственный реестр индивидуальных предпринимателей; обработке персональных данных, отнесенных к сведениям, составляющим государственную тайну.
Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных данным законом. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением отдельных случаев. Так, обеспечение конфиденциальности персональных данных не требуется: в случае обезличивания персональных данных; в отношении общедоступных персональных данных.
Прайм-Тасс
26.11.2007 18:12
Реестр формируется во исполнение требований пункта 4 статьи 25 федерального закона от 27 июля 2006 г "О персональных данных". Как говорится в сообщении ведомства, с 20 ноября в территориальные органы Россвязьохранкультуры от государственных органов, юридических и физических лиц стали активно поступать уведомления на обработку персональных данных.
Как отмечается в сообщении Россвязьохранкультуры, государственные органы, юридические и физические лица, не попавшие в реестр, после 1 января 2008 г не вправе обрабатывать персональные данные.
Как сообщал ПРАЙМ-ТАСС, принятый в июле 2006 г федеральный закон "О персональных данных" регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными, региональными и местными органами власти, юридическими и физическими лицами с использованием средств автоматизации или без их использования.
В законе определены основные принципы и условия обработки персональных данных. В частности, отмечается, что персональные данные должны храниться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей обработки или утраты необходимости их достижения.
Действие закона не распространяется на отношения, возникающие при: обработке персональных данных физическими лицами исключительно для личных и семейных нужд; хранении и использовании содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ; сведений о физических лицах, подлежащих включению в единый государственный реестр индивидуальных предпринимателей; обработке персональных данных, отнесенных к сведениям, составляющим государственную тайну.
Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных данным законом. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением отдельных случаев. Так, обеспечение конфиденциальности персональных данных не требуется: в случае обезличивания персональных данных; в отношении общедоступных персональных данных.
Прайм-Тасс
26.11.2007 18:12
- Связной (С)
- Форумчанин
- Сообщения:
18674 - Изображения: 39
- Зарегистрирован:
21 апр 2005 - Откуда:
Мыс Шмидта - Благодарил (а): 663 раз.
- Поблагодарили: 751 раз.
Сообщение:#11 Связной (С) » Вт 27 ноя, 2007 07:56 »
Т.е. все же:Связной (С) писал(а):регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными, региональными и местными органами власти, юридическими и физическими лицами с использованием средств автоматизации или без их использования.
операторам теперь это все в обязаловку делать?:
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью...
- Mega
- Форумчанин
- Сообщения:
273 - Зарегистрирован:
16 янв 2004 - Благодарил (а): 0 раз.
- Поблагодарили: 1 раз.
Сообщение:#12 Mega » Вт 27 ноя, 2007 09:00 »
В соответствии с ч. 2 ст. 22 ФЗ "О персональных данных" Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
ИМХО под это положение подходит оператор связи.
ИМХО под это положение подходит оператор связи.
- Связной (С)
- Форумчанин
- Сообщения:
18674 - Изображения: 39
- Зарегистрирован:
21 апр 2005 - Откуда:
Мыс Шмидта - Благодарил (а): 663 раз.
- Поблагодарили: 751 раз.
Сообщение:#13 Связной (С) » Вт 27 ноя, 2007 11:18 »
А требования безопасности ПД все равно не снимаются...Mega писал(а):без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных
- Alligator
- Новичок
- Сообщения:
9 - Зарегистрирован:
03 дек 2007 - Откуда:
Нижегородская область - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#14 Alligator » Вт 04 дек, 2007 18:01 »
Mega писал(а):В соответствии с ч. 2 ст. 22 ФЗ "О персональных данных" Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных.
ИМХО под это положение подходит оператор связи.
Если данные о клиенте третьим лицам (агентам, субагентам, другим операторам) не предоставляются, то уведомление ИМХО не нужно.
- A&A
- Форумчанин
- Сообщения:
460 - Зарегистрирован:
12 май 2004 - Откуда:
Россия - Благодарил (а): 5 раз.
- Поблагодарили: 9 раз.
Сообщение:#15 A&A » Вт 04 дек, 2007 18:16 »
Alligator писал(а):Если данные о клиенте третьим лицам (агентам, субагентам, другим операторам) не предоставляются, то уведомление ИМХО не нужно.
Рассылку счетов кто осуществляет? А если не сам оператор? А если почта или выведенный в результате аутпроцессинга доставщик?
- СП
- Форумчанин
- Сообщения:
863 - Зарегистрирован:
11 авг 2004 - Благодарил (а): 0 раз.
- Поблагодарили: 9 раз.
Сообщение:#16 СП » Вт 04 дек, 2007 19:00 »
УПРАВЛЕНИЕ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО НАДЗОРУ В СФЕРЕ
МАССОВЫХ КОММУНИКАЦИЙ, СВЯЗИ И ОХРАНЫ КУЛЬТУРНОГО
НАСЛЕДИЯ ПО РЕСПУБЛИКЕ БАШКОРТОСТАН
РЕКОМЕНДАЦИИ
ПО ЗАПОЛНЕНИЮ УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Управление Россвязьохранкультуры по Республике Башкортостан извещает органы государственной власти и муниципальные органы всех видов, юридические и физические лица, зарегистрированные на территории Республики Башкортостан, осуществляющие обработку персональных данных или намеревающиеся осуществлять такую обработку, о начале приема уведомления об обработке персональных данных согласно статье 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
В соответствии со ст. 25 указанного Закона операторы, осуществляющие обработку персональных данных до дня вступления в силу указанного Закона, обязаны направить уведомление не позднее 1 января 2008 года.
1. Настоящие Рекомендации разработаны в целях установления единых принципов и порядка заполнения уведомления об обработке персональных данных (далее - Уведомление).
2. Уведомление оформляется на бланке органа, осуществляющего обработку персональных данных, и направляется в Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (далее - Россвязьохранкультура) или территориальный орган Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (далее - территориальный орган Россвязьохранкультуры).
3. Уведомление и его поля заполняются с использованием информационных систем, в том числе средств вычислительной техники и связи, реализующих информационные процессы, которые обеспечивают в дальнейшем обработку, хранение и поиск необходимой информации.
4. В поле "тип оператора" указывается тип организации, осуществляющей обработку персональных данных. Указывается одно из следующих значений:
- юридическое лицо;
- физическое лицо (индивидуальный предприниматель);
- государственный орган;
- муниципальный орган.
5. В поле "наименование (фамилия, имя, отчество), адрес оператора" указывается:
5.1. Для юридических лиц:
полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (оператора), осуществляющего обработку персональных данных;
наименование филиала (представительства) юридического лица (оператора), осуществляющего обработку персональных данных;
место нахождения <*>;
--------------------------------
<*> Указывается место нахождения юридического лица (оператора) в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, а также место нахождения филиала юридического лица.
индивидуальный номер налогоплательщика (ИНН).
5.2. Для индивидуальных предпринимателей:
фамилия, имя, отчество индивидуального предпринимателя (оператора);
место жительства <*>;
--------------------------------
<*> Указывается место жительства индивидуального предпринимателя (оператора) в соответствии с данными документа, удостоверяющего личность, и свидетельством о постановке индивидуального предпринимателя на учет в налоговом органе.
ИНН.
5.3. Для физических лиц: фамилия, имя, отчество физического лица (оператора);
место жительства <*>;
--------------------------------
<*> Указывается место жительства физического лица в соответствии с данными документа, удостоверяющего личность.
данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ, удостоверяющий личность.
5.4. Для государственных (муниципальных) органов:
полное наименование государственного (муниципального) органа (оператора) с указанием полного и сокращенного наименования проверяемого лица;
наименование территориального органа (оператора), осуществляющего обработку персональных данных;
место нахождения <*>;
--------------------------------
<*> Указывается место нахождения государственного (муниципального) органа в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, а также место нахождения филиала юридического лица, в отношении которого проводилось мероприятие по контролю.
индивидуальный номер налогоплательщика (ИНН).
6. В поле "цель обработки персональных данных" указываются цели обработки персональных данных (а также их соответствие полномочиям оператора) (примечание N 1).
Примечание N 1: Под "целью обработки персональных данных" понимаются как цели, указанные в учредительных документах оператора, так и цели, фактически осуществляемой оператором деятельности по обработке персональных данных.
7. В поле "категории персональных данных" указываются одна или несколько категорий персональных данных, подлежащих обработке:
7.1. Непосредственно персональные данные (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация).
7.2. Специальные категории персональных данных (расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни).
7.3. Биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность).
8. В поле "категории субъектов, персональные данные которых обрабатываются" указываются категории субъектов и виды отношений с физическими лицами, персональные данные которых обрабатываются (Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др.).
9. В поле "правовое основание обработки персональных данных" указываются:
Федеральный закон, постановление Правительства Российской Федерации, иной нормативно-правовой акт, закрепляющий основание и порядок обработки персональных данных (примечание N 1).
Учредительные документы оператора, закрепляющие деятельность по обработке персональных данных (заверенная в установленном законом порядке выписка из учредительных документов - учредительного договора и (или) устава, отражающая наименование юридического лица, место его нахождения, предмет и цели деятельности юридического лица, в том числе по обработке персональных данных).
Номер лицензии на осуществляемый вид деятельности, в том числе по обработке персональных данных, а также, при наличии, выписку из лицензионных условий, закрепляющую запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных (например: лицензия N 10513, выдана ОАО "Первый" ______ (кем выдана) на осуществление _________ (указывается лицензируемый вид деятельности). Пунктом 5 лицензионных условий предусмотрен запрет на передачу персональных данных (или информации, касающейся физических лиц) третьим лицам без согласия в письменной форме субъекта персональных данных (физических лиц) (примечание N 2).
Примечание N 1: Указываются не только соответствующие статьи Федерального закона "О персональных данных", но и статьи нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных. (Например: ст.ст. 85 - 90 Трудового кодекса РФ, ст. 85.1 Воздушного кодекса РФ, ст. 12 Федерального закона "Об актах гражданского состояния" и др.)
Примечание N 2: Номер лицензии и (или) пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся физических лиц), отражается только при наличии лицензии или соответствующего пункта лицензионных условий.
10. В поле "перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных" указываются действия, совершаемые оператором с персональными данными, а также описание используемых оператором способов обработки персональных данных:
- неавтоматизированная обработка персональных данных;
- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
- смешанная обработка персональных данных (примечание N 1).
Примечание N 1. При автоматизированной обработке персональных данных либо смешанной обработке, необходимо указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица), либо информация передается с использованием сети общего пользования Интернет, либо без передачи полученной информации.
11. В поле "описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке" указываются организационные и технические меры, в том числе использование шифровальных (криптографических) средств, используемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.
12. В поле "дата начала обработки персональных данных" указывается конкретная дата начала совершения действий с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (фактическая дата начала обработки персональных данных).
13. В поле "срок или условие прекращения обработки персональных данных" указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки персональных данных.
14. В поле "территория обработки" указывается список субъектов РФ (с указанием кода субъекта - согласно справочнику "Коды регионов", утвержденному Приказом ФНС России от 13.10.2006 N САЭ-3-04/706@ "Об отверждении формы сведений о доходах физических лиц"), на территории которых оператором производится обработка персональных данных (примечания NN 1, 2).
Примечание N 1. Если для каких-либо субъектов РФ значения пунктов 3 - 10 отличаются, то для них формируется отдельное уведомление. Таким образом, в одном уведомлении указываются только те субъекты РФ, для которых значения пунктов 3 - 10 общие.
Примечание N 2. Для организаций, учреждений, имеющих филиалы (представительства), указываются юридический и фактический адрес (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка персональных данных (все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных). При этом, необходимо уточнить, обработка персональных данных осуществляется только юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами).
Указанное Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Приложение
Уведомление
об обработке персональных данных
(указывается тип оператора)
__________________________________________________________________
(наименование (фамилия, имя, отчество), адрес оператора)
руководствуясь ___________________________________________________
(правовое основание обработки персональных данных)
с целью __________________________________________________________
(цель обработки персональных данных)
осуществляет обработку следующих категорий персональных данных:
__________________________________________________________________
принадлежащих: ___________________________________________________
(категории субъектов, персональные данные которых
__________________________________________________________________
обрабатываются)
Обработка вышеуказанных персональных данных будет
осуществляться путем _____________________________________________
(описание мер, которые оператор обязуется
__________________________________________________________________
осуществлять при обработке персональных данных, по обеспечению
безопасности персональных данных при их обработке)
на территории ____________________________________________________
(указывается территория субъекта(ов), на которой(ых)
осуществляется обработка персональных данных)
Дата начала обработки персональных данных: ___________________
Срок или условие прекращения обработки персональных данных:
__________________________________________________________________
_______________________ (Ф.И.О.)
(должность) (подпись)
"___" ____________ 200_ г.
Прием уведомлений об обработке персональных данных осуществляется с 25.10.2007 по адресу: 450005, г. Уфа, ул. 50-летия Октября, 20/1.
МАССОВЫХ КОММУНИКАЦИЙ, СВЯЗИ И ОХРАНЫ КУЛЬТУРНОГО
НАСЛЕДИЯ ПО РЕСПУБЛИКЕ БАШКОРТОСТАН
РЕКОМЕНДАЦИИ
ПО ЗАПОЛНЕНИЮ УВЕДОМЛЕНИЯ ОБ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Управление Россвязьохранкультуры по Республике Башкортостан извещает органы государственной власти и муниципальные органы всех видов, юридические и физические лица, зарегистрированные на территории Республики Башкортостан, осуществляющие обработку персональных данных или намеревающиеся осуществлять такую обработку, о начале приема уведомления об обработке персональных данных согласно статье 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
В соответствии со ст. 25 указанного Закона операторы, осуществляющие обработку персональных данных до дня вступления в силу указанного Закона, обязаны направить уведомление не позднее 1 января 2008 года.
1. Настоящие Рекомендации разработаны в целях установления единых принципов и порядка заполнения уведомления об обработке персональных данных (далее - Уведомление).
2. Уведомление оформляется на бланке органа, осуществляющего обработку персональных данных, и направляется в Федеральную службу по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (далее - Россвязьохранкультура) или территориальный орган Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (далее - территориальный орган Россвязьохранкультуры).
3. Уведомление и его поля заполняются с использованием информационных систем, в том числе средств вычислительной техники и связи, реализующих информационные процессы, которые обеспечивают в дальнейшем обработку, хранение и поиск необходимой информации.
4. В поле "тип оператора" указывается тип организации, осуществляющей обработку персональных данных. Указывается одно из следующих значений:
- юридическое лицо;
- физическое лицо (индивидуальный предприниматель);
- государственный орган;
- муниципальный орган.
5. В поле "наименование (фамилия, имя, отчество), адрес оператора" указывается:
5.1. Для юридических лиц:
полное наименование с указанием организационно-правовой формы и сокращенное наименование юридического лица (оператора), осуществляющего обработку персональных данных;
наименование филиала (представительства) юридического лица (оператора), осуществляющего обработку персональных данных;
место нахождения <*>;
--------------------------------
<*> Указывается место нахождения юридического лица (оператора) в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, а также место нахождения филиала юридического лица.
индивидуальный номер налогоплательщика (ИНН).
5.2. Для индивидуальных предпринимателей:
фамилия, имя, отчество индивидуального предпринимателя (оператора);
место жительства <*>;
--------------------------------
<*> Указывается место жительства индивидуального предпринимателя (оператора) в соответствии с данными документа, удостоверяющего личность, и свидетельством о постановке индивидуального предпринимателя на учет в налоговом органе.
ИНН.
5.3. Для физических лиц: фамилия, имя, отчество физического лица (оператора);
место жительства <*>;
--------------------------------
<*> Указывается место жительства физического лица в соответствии с данными документа, удостоверяющего личность.
данные документа, удостоверяющего личность, дата его выдачи, наименование органа, выдавшего документ, удостоверяющий личность.
5.4. Для государственных (муниципальных) органов:
полное наименование государственного (муниципального) органа (оператора) с указанием полного и сокращенного наименования проверяемого лица;
наименование территориального органа (оператора), осуществляющего обработку персональных данных;
место нахождения <*>;
--------------------------------
<*> Указывается место нахождения государственного (муниципального) органа в соответствии с учредительными документами и свидетельством о постановке юридического лица на учет в налоговом органе, а также место нахождения филиала юридического лица, в отношении которого проводилось мероприятие по контролю.
индивидуальный номер налогоплательщика (ИНН).
6. В поле "цель обработки персональных данных" указываются цели обработки персональных данных (а также их соответствие полномочиям оператора) (примечание N 1).
Примечание N 1: Под "целью обработки персональных данных" понимаются как цели, указанные в учредительных документах оператора, так и цели, фактически осуществляемой оператором деятельности по обработке персональных данных.
7. В поле "категории персональных данных" указываются одна или несколько категорий персональных данных, подлежащих обработке:
7.1. Непосредственно персональные данные (фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация).
7.2. Специальные категории персональных данных (расовая принадлежность, национальная принадлежность, политические взгляды, религиозные убеждения, философские убеждения, состояние здоровья, состояние интимной жизни).
7.3. Биометрические персональные данные (сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность).
8. В поле "категории субъектов, персональные данные которых обрабатываются" указываются категории субъектов и виды отношений с физическими лицами, персональные данные которых обрабатываются (Например: работники (субъекты), состоящие в трудовых отношениях с юридическим лицом (оператором), физические лица (абонент, пассажир, заемщик, вкладчик, страхователь, заказчик и др.) (субъекты), состоящие в договорных и иных гражданско-правовых отношениях с юридическим лицом (оператором) и др.).
9. В поле "правовое основание обработки персональных данных" указываются:
Федеральный закон, постановление Правительства Российской Федерации, иной нормативно-правовой акт, закрепляющий основание и порядок обработки персональных данных (примечание N 1).
Учредительные документы оператора, закрепляющие деятельность по обработке персональных данных (заверенная в установленном законом порядке выписка из учредительных документов - учредительного договора и (или) устава, отражающая наименование юридического лица, место его нахождения, предмет и цели деятельности юридического лица, в том числе по обработке персональных данных).
Номер лицензии на осуществляемый вид деятельности, в том числе по обработке персональных данных, а также, при наличии, выписку из лицензионных условий, закрепляющую запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных (например: лицензия N 10513, выдана ОАО "Первый" ______ (кем выдана) на осуществление _________ (указывается лицензируемый вид деятельности). Пунктом 5 лицензионных условий предусмотрен запрет на передачу персональных данных (или информации, касающейся физических лиц) третьим лицам без согласия в письменной форме субъекта персональных данных (физических лиц) (примечание N 2).
Примечание N 1: Указываются не только соответствующие статьи Федерального закона "О персональных данных", но и статьи нормативно-правового акта, регулирующие осуществляемый вид деятельности и касающиеся обработки персональных данных. (Например: ст.ст. 85 - 90 Трудового кодекса РФ, ст. 85.1 Воздушного кодекса РФ, ст. 12 Федерального закона "Об актах гражданского состояния" и др.)
Примечание N 2: Номер лицензии и (или) пункт лицензионных условий, закрепляющий запрет на передачу персональных данных (или информации, касающейся физических лиц), отражается только при наличии лицензии или соответствующего пункта лицензионных условий.
10. В поле "перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных" указываются действия, совершаемые оператором с персональными данными, а также описание используемых оператором способов обработки персональных данных:
- неавтоматизированная обработка персональных данных;
- исключительно автоматизированная обработка персональных данных с передачей полученной информации по сети или без таковой;
- смешанная обработка персональных данных (примечание N 1).
Примечание N 1. При автоматизированной обработке персональных данных либо смешанной обработке, необходимо указать, передается ли полученная в ходе обработки персональных данных информация по внутренней сети юридического лица (информация доступна лишь для строго определенных сотрудников юридического лица), либо информация передается с использованием сети общего пользования Интернет, либо без передачи полученной информации.
11. В поле "описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке" указываются организационные и технические меры, в том числе использование шифровальных (криптографических) средств, используемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.
12. В поле "дата начала обработки персональных данных" указывается конкретная дата начала совершения действий с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (фактическая дата начала обработки персональных данных).
13. В поле "срок или условие прекращения обработки персональных данных" указывается конкретная дата или основание (условие), наступление которого повлечет прекращение обработки персональных данных.
14. В поле "территория обработки" указывается список субъектов РФ (с указанием кода субъекта - согласно справочнику "Коды регионов", утвержденному Приказом ФНС России от 13.10.2006 N САЭ-3-04/706@ "Об отверждении формы сведений о доходах физических лиц"), на территории которых оператором производится обработка персональных данных (примечания NN 1, 2).
Примечание N 1. Если для каких-либо субъектов РФ значения пунктов 3 - 10 отличаются, то для них формируется отдельное уведомление. Таким образом, в одном уведомлении указываются только те субъекты РФ, для которых значения пунктов 3 - 10 общие.
Примечание N 2. Для организаций, учреждений, имеющих филиалы (представительства), указываются юридический и фактический адрес (как юридического лица, так и его филиалов и представительств), где осуществляется непосредственная обработка персональных данных (все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных). При этом, необходимо уточнить, обработка персональных данных осуществляется только юридическим лицом (формирование центральной информационной системы) и (или) филиалами (представительствами).
Указанное Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Приложение
Уведомление
об обработке персональных данных
(указывается тип оператора)
__________________________________________________________________
(наименование (фамилия, имя, отчество), адрес оператора)
руководствуясь ___________________________________________________
(правовое основание обработки персональных данных)
с целью __________________________________________________________
(цель обработки персональных данных)
осуществляет обработку следующих категорий персональных данных:
__________________________________________________________________
принадлежащих: ___________________________________________________
(категории субъектов, персональные данные которых
__________________________________________________________________
обрабатываются)
Обработка вышеуказанных персональных данных будет
осуществляться путем _____________________________________________
(описание мер, которые оператор обязуется
__________________________________________________________________
осуществлять при обработке персональных данных, по обеспечению
безопасности персональных данных при их обработке)
на территории ____________________________________________________
(указывается территория субъекта(ов), на которой(ых)
осуществляется обработка персональных данных)
Дата начала обработки персональных данных: ___________________
Срок или условие прекращения обработки персональных данных:
__________________________________________________________________
_______________________ (Ф.И.О.)
(должность) (подпись)
"___" ____________ 200_ г.
Прием уведомлений об обработке персональных данных осуществляется с 25.10.2007 по адресу: 450005, г. Уфа, ул. 50-летия Октября, 20/1.
- Andrei
- Форумчанин
- Сообщения:
6781 - Зарегистрирован:
14 окт 2003 - Благодарил (а): 31 раз.
- Поблагодарили: 345 раз.
Сообщение:#17 Andrei » Вт 04 дек, 2007 20:11 »
A&A писал(а):Рассылку счетов кто осуществляет? А если не сам оператор? А если почта или выведенный в результате аутпроцессинга доставщик?
Хороший вопрос. Жаль - без ответа. Тоже до 1 янв предстоит ответить в ТУ РСОК - занимаемся ли мы ТАКОЙ обработкой данных об абонентах.
- voldemar
- Форумчанин
- Сообщения:
70 - Зарегистрирован:
14 май 2005 - Откуда:
Воронеж - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#19 voldemar » Ср 05 дек, 2007 18:00 »
Скажите, а что им вообще отвечать надо?
А если у меня нет абонентов - физических лиц?
Если у меня только пользователи?
Если я заключаю договор прямой только с юр. лицами, а пользователь - физическое лицо заключает со мной договор путем совершения конклюдентных действий (карточку покупает)?
Откуда у меня персональные данные?
Или я не вправе оказывать услугу таким образом?
И обязан заключить договор?
(Услуга - ПДцПГИ)
А если у меня нет абонентов - физических лиц?
Если у меня только пользователи?
Если я заключаю договор прямой только с юр. лицами, а пользователь - физическое лицо заключает со мной договор путем совершения конклюдентных действий (карточку покупает)?
Откуда у меня персональные данные?
Или я не вправе оказывать услугу таким образом?
И обязан заключить договор?
(Услуга - ПДцПГИ)
- toha
- Форумчанин
- Сообщения:
77 - Зарегистрирован:
18 фев 2005 - Откуда:
Южный ФО - Благодарил (а): 0 раз.
- Поблагодарили: 0 раз.
Сообщение:#20 toha » Чт 06 дек, 2007 11:05 »
Вот что прислал местный РСОК:
"... операторы, осуществляющие обработку персональных данных, обязаны направить до 1 января 2008 года в Управление Россвязьохранкультуры ... уведомление, предусмотренное частью 3 статьи 22 Федерального закона от 27.07.2006 №152-ФЗ."
Смотрим часть 3 статьи 22:
"Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме..."
Смотрим часть 1 статьи 22:
"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи."
Смотрим часть 2 статьи 22:
"2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
...
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;"
Допустим, я интернет-провайдер, имею зарегистрированных юзеров. Полагаю, это достаточно распространенный случай
Персональные данные своих абонентов при заключении договоров собираем? ДА. Заключаем договора с физ.лицами, заносим данные в биллинг.
Распространяем? НЕТ. Допустим, мои абоненты работают по предоплате и вся информация об потреблении услуг абонентом - физ.лицом высылается ему на персональным почтовый ящик в лучшем случае.
Предоставляем третьим лицам без согласия абонентам? НЕТ.
Используем исключительно для исполнения договора? ДА.
Из чего можно сделать вывод, что уведомление, предусмотренное частью 3 статьи 22 в РСОК отправлять не нужно.
"... операторы, осуществляющие обработку персональных данных, обязаны направить до 1 января 2008 года в Управление Россвязьохранкультуры ... уведомление, предусмотренное частью 3 статьи 22 Федерального закона от 27.07.2006 №152-ФЗ."
Смотрим часть 3 статьи 22:
"Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме..."
Смотрим часть 1 статьи 22:
"Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи."
Смотрим часть 2 статьи 22:
"2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
...
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;"
Допустим, я интернет-провайдер, имею зарегистрированных юзеров. Полагаю, это достаточно распространенный случай
Персональные данные своих абонентов при заключении договоров собираем? ДА. Заключаем договора с физ.лицами, заносим данные в биллинг.
Распространяем? НЕТ. Допустим, мои абоненты работают по предоплате и вся информация об потреблении услуг абонентом - физ.лицом высылается ему на персональным почтовый ящик в лучшем случае.
Предоставляем третьим лицам без согласия абонентам? НЕТ.
Используем исключительно для исполнения договора? ДА.
Из чего можно сделать вывод, что уведомление, предусмотренное частью 3 статьи 22 в РСОК отправлять не нужно.
Вернуться в Последние новости отрасли
Сообщений: 53
• Страница 1 из 3 • 1, 2, 3
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 20