Про обновление требований по защите персональных данных

Защищать персональные данные в России, а скорее, выполнять требования государства, очень не просто. Мало того, что регламентирующих документов много (законы, постановления правительства и руководящие документы регуляторов), они еще и довольно часто обновляются. Нужно постоянно находиться «в потоке» новых веяний, понимать, куда пойдет мысль ответственных властных органов.

Что же сейчас? На данный момент ключевыми документами, определяющими требования по обработке и защите персональных данных в России, являются:

Кстати, напомню, что с ПП1119 мы познакомились в конце 2012 года, а окончательная версия Приказа №21 увидела свет лишь в мае 2013. Эти два документа серьезно меняют подход к построению системы защиты персональных данных. На это стоит обратить особое внимание операторам персональных данных, а значит и производителям средств защиты, интеграторам и консультантам.

Во-первых, эти регламентирующие документы отменяют (признают утратившими силу) Постановление Правительства РФ от 17 ноября 2007 № 781 и Приказ ФСТЭК России от 5 февраля 2010 №58. Во-вторых, существенно меняют набор мер защиты и процедуру их выбора. Требований стало больше, да и перечень типов мер (средств защиты) существенно расширился. В-третьих, вносят корректировки в требования к классам сертифицированных средств защиты информации. Это важно если операторы персональных данных ориентируются на использование сертифицированных средств защиты, а для государственных информационных систем это обязательно.

Теперь операторам персональных данных следует внимательно изучить указанные документы, пересмотреть свои модели угроз, оценить уровень защищенности персональных данных, определить перечень базовых мер защиты и итоговый их перечень, внести изменения в уже построенные системы защиты информации, и тогда их ИСПДн будут защищены в соответствии с требованиями законодательства России.

Подпишитесь на рассылку INFOWATCH