Сопредседатели комитета по информационной безопасности СОДИТ Юрий Шойдин, директор по ИТ ГК «Интарсия», член Союза ИТ‑директоров России, член клуба ИТ-директоров Санкт-Петербурга Виктор Минин, советник председателя совета МОО АЗИ, председатель Общественного консультативного совета по научно-технологическим вопросам информационной безопасности Комиссии по информационной безопасности при Координационном совете государств — участников СНГ по информатизации при РСС.

Введение

В законодательстве Российской Федерации предусматривается наличие различного рода сведений, которые охраняются законом. Одним из самых больших потоков конфиденциальной информации, ее значительной составляющей частью, являются сведения о гражданах. Фундамент законодательства в этой области составляют статьи Конституции Российской Федерации о праве граждан на информацию, соответствующие международным нормам в этой обла­сти. Так, охраняется тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, личная и семейная тайна. Кроме того, сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Несмотря на то что сегодня в основном говорят непосредственно о принятом в 2006 г. Федеральном законе «О персональных данных», стоит обратить внимание на то, что перечень иных законодательных и нормативных правовых актов, так или иначе затрагивающих вопросы персональных данных, уже достаточно велик. А следовательно, накопилось много вопросов и проблем, связанных с разночтением уже существующих нормативных актов и порядком их применения.

В правоотношениях, связанных с оборотом персональных данных, выступают две стороны — субъект персональных данных, с одной стороны, и, с другой стороны, оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных(1). Таким образом, собственником персональных данных является физическое лицо, данные о котором находятся в обороте. Владельцем этой информации, в силу своих обязанностей, становятся уполномоченные государственные и/или коммерческие структуры.

Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. При этом преследуется цель защиты конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах.

После вступления в действие Федерального закона «О персональных данных» прошло уже достаточно времени. Понемногу общество стало осмысливать значение его принятия в процессе формирования правосознания граждан России — каждый из нас имеет информацию, которая должна защищаться государством от неправомерного распространения и использования. В то же время необходимо разделять позиции законодателя в отношении операторов, которые обязаны обрабатывать персональные данные согласно требованиям Федерального закона, и в отношении субъектов персональных данных, права которых должны быть защищены в первую очередь путем выполнения требований регулирующих органов, а во вторую — обеспечением контроля и надзора за защитой прав субъектов персональных данных со стороны государства. Таким образом, операторы персональных данных оказываются той категорией, которая в большей степени должна задуматься об организации своей деятельности в соответствии с существующим законодательством.

Очень условно данную деятельность можно разделить на две части. Одна — «нетехническая» сторона вопроса защиты оператором обрабатываемых персональных данных (ПДн), которая, наряду с «техниче­ской», имеет немаловажное значение при соблюдении требований закона. Необходимо понимать, что с целью соблюдения таких требований во всех организациях должен появиться новый, достаточно объемный пласт документации. Если говорить о второй стороне «технической», то очень важно учитывать, что в современной информационной системе предприятия достаточно много приложений, обрабатывающих ПДн. Только комплексный аудит ИС позволяет провести инвентаризацию информационных ресурсов и понять, где, как и какие ПДн обрабатываются.

За дополнительными разъяснениями по применению законодательства о персональных данных обращайтесь в комитет по информационной безопасности СоДИТ по почте itsec@rucio.ru.

Общие рекомендации

Мероприятия по обеспечению безопасности персональных данных сочетают в себе реализацию правовых, организационных и технических мер, причем все они одинаково значимы, при этом невыполнение одних требований сводит на нет результаты реализации других.

1. С чего начать
Всем операторам нужно, в первую очередь для себя, закрепить документально следующие основные понятия обработки персональных данных субъектов.

Во-первых, обязанность оператора представить субъекту персональных данных на основании обращения, запроса информацию, касающуюся обработки его персональных данных, в том числе:

  • цель обработки;
  • способы обработки;
  • сведения о лицах, имеющих доступ к персональным данным;
  • перечень обрабатываемых персональных данных;
  • источник получения;
  • сроки обработки и хранения персональных данных.

Также надо иметь в виду, что предоставить субъекту такого рода информацию оперативно можно только на основании уже существующих документов, где планомерно изложены принципы и критерии обработки. Иначе, например, операторы мобильной связи, выдавая ответы на одни и те же обращения субъектов в силу большого количества обраба­тываемых персональных данных, могут дать противоречивый или некорректный с точки зрения запроса ответ.

Во-вторых, необходимость анализа всех обрабатываемых организацией персональных данных и аккумулирования этой информации в едином документе (назовем его, например, «Детализированный перечень персональных данных») обусловлена требованием к технической защите обрабатываемых оператором персональных данных. Поясним. Приказом ФСТЭК России, ФСБ России и Мининформсвязи от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» при классификации информационных систем с целью определения уровня их защиты и степени расходования средств организации на техническую защиту персональных данных субъектов учитываются категории обрабатываемых персональных данных и их объем. Соответственно возникает необходимость такую информацию фиксировать и документировать.

В-третьих, формулирование в «Дета­лизи­ро­ванном перечне», в частности, понятия цели обработки ПДн поможет оператору обосновать в спорных случаях отсутствие согласия субъекта персональных данных, когда такая возможность предусмотрена законом №152-ФЗ (ч.2, ст.6), потому что законодатель, описывая такие случаи, привязывает их описание к понятию «цель обработки».

В-четвертых, проверяющий уполномоченный орган, выясняя причину нарушения тех или иных положений законодательства в сфере персональных данных, будет ориентироваться в первую очередь, на соблюдение принципов закона №152-ФЗ (ст.5), которые могут быть проверены только на основании документа (документов), определяющего обработку персональных данных в организации.

Для того чтобы единый документ об обработке персональных данных в организации «предвосхитил» все вопросы, которые могут возникнуть у Уполномоченного органа, необходим предварительный анализ всей документации оператора, которая содержит и определяет обработку персональных данных субъектов.

В свою очередь, при проведении такого анализа и составлении текста «Детализированного перечня» необходимо учитывать возможность типизации ПДн. К примеру, когда оператор обрабатывает персональные данные субъектов с единой целью (например, оператор связи обрабатывает ПДн с целью предоставления услуги связи), то в «Детализированном перечне» должны быть четко сформулированы понятия цели, способов, перечня обрабатываемых персональных данных и прочее.

В случаях, когда оператор обрабатывает персональные данные, преследуя различные цели, к примеру, обрабатывая данные работников для начисления заработной платы, установления пропускного режима, учета в кадровом делопроизводстве, возникает потребность их типизировать относительно цели обработки, и это должно быть отражено в «Положении». Такая система описания (относительно критерия цели обработки, например) позволит оператору эффективно ориентироваться в документах, содержащих персональные данные, давать ответы на запросы субъектов и Уполномоченного органа.

Другим вопросом, имеющим отношение к документации оператора персональных данных, является вопрос о сроках хранения персональных данных. В данном случае законодательство, пожалуй, впервые устанавливает максимальный, и к тому же условный, срок хранения — «по достижении целей обработки». Организации должны будут установить сроки хранения персональных данных, причем необходимо заранее продумать обоснование выбранных сроков хранения. Например, исходя из требований трудового, гражданского (исковая давность) и пенсионного законодательства срок хранения для карточек формы Т-2 установлен — 75 лет, а для информации о предоставленных абоненту услугах связи, на основании постановления Правительства РФ №538 от 2005 г. срок хранения составляет три года.

Что касается технических мероприятий по обеспечению защиты ПДн, то мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах в обязательном порядке должны включать в себя учет лиц, допущенных к работе с персональными данными в ИС. При этом лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, должны допускаться к соответствующим данным на основании списка, утвержденного уполномоченным лицом оператора.

При этом сам по себе утвержденный список мало что значит. Важно обеспечить разграничение доступа не только к приложениям, но и реализовать в самих приложениях доступ к персональным данным в соответствии с утвержденным списком. Сделать это без эффективной системы управления доступом будет крайне затруднительно. Наряду с разграничением доступа к персональным данным в ИСПДн должны быть реализованы механизмы:

  • регистрации и учета;
  • обеспечения целостности;
  • антивирусной защиты;
  • криптографической защиты.

Функционал, который должны выполнять данные механизмы, определен в методических документах ФСБ России и ФСТЭК России по защите персональных данных.

Механизмы направлены на предотвращение несанкционированного доступа к персональным данным и, кроме того, обеспечивают своевременное обнаружение фактов несанкционированного доступа к ним. Кроме того, важно понимать, что какие бы хорошие ни были механизмы защиты, ответственные лица оператора должны периодически проводить контроль и проверку их эффективности.

Определенную сложность при категорировании, защите и аттестации ИС будет иметь тот факт, что современные автоматизированные ИС используют программные продукты, целиком охватывающие все предприятие. Если раньше мы могли говорить о локальной защите конкретного модуля (например, кадрового учета), то теперь при повсеместном использовании ERP‑систем, где этот модуль интегрирован в саму систему, защищать и аттестовать придется всю информационную систему.

2. Перечень внутренних документов компании.

  • Приказ о создании комиссии по защите персональных данных с наделением ее полномочий по проведению всех мероприятий, касающихся организации защиты персональных данных;
  • положение о персональных данных и их защите;
  • инструкция о порядке обеспечения конфиденциальности при обращении с информацией, содержащей персональные данные;
  • приказ(ы) о возложении персональной ответственности за защиту персональных данных;
  • договор с субъектом персональных данных, который может содержать отдельное письменное согласие субъекта персональных данных на их обработку, в случаях определенных согласно №152‑ФЗ;
  • нормативный документ (перечень), аккумулирующий информацию о персональных данных, обрабатываемых оператором (в том числе их категория, объем и сроки хранения);
  • перечень информационных систем, обрабатывающих персональные данные;
  • регламент допуска сотрудников к обработке персональных данных;
  • перечень сотрудников, допущенных к обработке персональных данных.
  • должностные инструкции сотрудников, имеющих отношение к обработке персональных данных.

3. Порядок действий по созданию системы защиты ПДн
При наличии в организации единого управленческого звена можно предложить операторам следующую схему организации системы защиты персональных данных:

  • организовать руководство процессами защиты персональных данных;
  • создать два направления по формированию обеспечения защиты обрабатываемых персональных данных: техническое направление и направление «нетехнической» защиты, обязанности которого, в свою очередь, можно перераспределить по структурным подразделениям согласно целям обработки, например, защита персональных данных в кадровом делопроизводстве, в контрольно-пропускной системе, юридическом структурном подразделении (при формировании и учете договоров с субъектами персональных данных). При этом внутренним документом (должностной инструкцией) должна быть установлена персональная ответственность работников этих направлений за надлежащую защиту персональных данных.

Приступать к технической защите можно после проведения категорирования персональных данных, определения их объема и особенностей технологических процессов их обработки (передача ПДн в рамках технологического процесса между территориально обособленными подразделениями компании, многопользовательский доступ к персональным данным, различные права доступа сотрудников к ПДн). Эти операции позволят:

  • определить класс защиты персональных данных и осуществить подбор необходимых средств удовлетворяющих требованиям к системе защиты информационной системы определенного класса;
  • спроектировать систему защиты персональных данных;
  • произвести подготовку и при необходимости сертификацию системы защиты персональных данных/аттестацию информационной системы персональных данных.

На основании вышесказанного процесс, связанный с приведением порядка обработки персональных данных в соответствие с требованиями законодатель­ства, можно условно разбить на следующие этапы:

  • инвентаризация ИС, обрабатывающих ПДн;
  • оценка законности обработки ПДн и наличие согласия субъектов на обработку;
  • контроль и корректировка договорных отношений с субъектами;
  • формирование перечня ПДн и проведение категорирования;
  • определение сроков и условий прекращения обработки ПДн;
  • разграничение доступа пользователей к ПДн в ИСПДн;
  • формирование документов регламентирующих работу с ПДн;
  • формирование модели угроз, содержащей актуальные угрозы информационной безопасности персональным данным при их обработке в информа­ционной системе;
  • классификация ИСПДн;
  • при необходимости, определенной в законе №152‑ФЗ, направить уведомление об обработке ПД в уполномоченный орган по защите прав субъектов персональных данных;
  • приведение системы защиты ПДн в соответствие требованиям регуляторов;
  • при необходимости, определенной методическими документами ФСТЭК России и ФСБ России получить необходимые лицензии;
  • аттестация ИСПДн;
  • эксплуатация ИС — мониторинг, выявление и реагирование на инциденты ИБ.

4. Модель угроз и классификация ИСПДн
На основании приказа ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» классификацию ИСПДн оператор персональных данных должен осуществить самостоятельно.

При этом модель угроз создается на основании методических документов ФСТЭК России и ФСБ России, а также актуальных угроз безопасности персональным данным при их обработке в ИСПДн.

Методические документы, определяющие модель угроз:

  • базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 14 февраля 2008г., ДСП;
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 14 февраля 2008г., ДСП;
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21 февраля 2008 г, №149/5-144.

Необходимо учитывать, что в случае обеспечения безопасности персональных данных без использования криптосредств при формировании модели угроз используются методические документы ФСТЭК России. В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании модели угроз используются методические документы ФСТЭК России и ФСБ России. При этом из двух содержащихся в документах ФСТЭК России и ФСБ России однотипных угроз выбирается более опасная.

По согласованию с ФСТЭК России и ФСБ России допускается формирование модели угроз только на основании методических документов ФСБ России.

При обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России, модели угроз формируются только на основании методиче­ских документов ФСБ России.

5. Требования к аттестации ИСПДн
Общие требования безопасности ИСПДн определены в ФЗ. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения и иных неправомерных действий. Защитные механизмы в значительной степени уточнены в постановлении Правительства РФ 2007г. №781. А конкретные требования по нейтрализации выявленных угроз безопасности и конкретные функциональные требования к защитным механизмам определяются после классификации системы и актуализации модели угроз на основании методических документов ФСТЭК России и ФСБ России.

Для получения квалифицированной помощи в случае возникновения вопросов по созданию системы защиты персональных данных желательно обратиться в комитет по информационной безопасности МОО СОДИТ и/или МОО АЗИ.

6. Какие могут быть последствия, если ничего не делать
Необходимо отметить, что законодательство устанавливает уголовную ответственность за нарушение неприкосновенности частной жизни(2), за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений(3). Кроме того, гражданское законодательство предусматривает защиту нематериальных благ граждан, включающих, в частности, неприкосновенность частной жизни, личную и семейную тайну, деловую репутацию. Устанавливается компенсация морального вреда, возможность требования по суду возмещения убытков и опровержения порочащих честь, достоин­ство и деловую репутацию гражданина сведений(4).

Надо также учитывать, что использование несертифицированных информационных систем, баз и банков данных, несертифицированных средств защиты информации, если они подлежат обязательной сертификации, влечет их конфискацию(5).

А нарушение правил защиты информации и отказ в предоставлении гражданину информации может привести к административному приостановлению деятельности организации сроком до 90 суток(6).

Разглашение информации, доступ к которой ограничен федеральным законом, и в частности, персональных данных (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, которое имело к ней доступ по служебным или профессиональным обязанно­стям, — карается административным штрафом до 10 тысяч рублей (7).

Часто задаваемые вопросы по защите персональных данных

1. Обязательно ли надо подавать уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных?

Согласно закону №152‑ФЗ оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, если условия обработки аналогичны п.2 ст.22.

2. Надо ли просить у субъекта персональных данных согласие на обработку его ПДн?

Да, для того чтобы обрабатывать персональные данные субъекта, необходимо получить от него согласие в письменной форме. Случаи, когда не требуется просить у субъекта персональных данных согласие на право обработки его персональных данных, определены ст.6 закона №152‑ФЗ.

3. А кто будет проверять нашу организацию по вопросу защиты персональных данных в первую очередь?

В первую очередь организацию будет проверять (проводить плановые и внеплановые проверки) Роскомнадзор. На настоящее время уже сложилась определенная практика таких проверок, как в Центральном федеральном округе, так и в регионах. Ознакомиться с ней можно на сайтах территориальных подразделений Роскомнадзора.

4. А если мы не будем выполнять, нас же за это все равно не накажут?!

На настоящее время уже сложилась определенная судебная практика по вопросу защиты персональных данных. Так, по информации московского подразделения Роскомнадзора, озвученного его представителем Михеевой О.М. в феврале 2009г., из девяти заявлений, направленных в суд, по двум суд принял решение удовлетворить заявление субъекта ПДн, по одному было принято решение направить в суд первой инстанции.

5. Лицензии (ФСТЭК России и ФСБ России) получаются на организацию или на юридическое лицо?

Лицензии (ФСТЭК России и ФСБ России) получаются на каждое юридическое лицо.

6. Достаточно ли нам будет взять на аутсорсинг внешнюю компанию, обладающую необходимыми лицензиями, для того, чтобы не получать различные лицензии регуляторов?

Да, действительно достаточно заключить соглашение на оказание аутсорсинговых услуг с компанией, обладающей необходимыми лицензиями ФСТЭК России и ФСБ России, для того чтобы не получать данные лицензии самим.

7. Кто имеет право проводить работы по аттестации информационных системы персональных данных?

Аттестовывать информационные системы персональных данных имеет право только организация, обладающая лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации (в самой лицензии должно быть указано, что по данным работам компания имеет право оказывать услуги).

8. Как получить доступ к закрытым документам по защите персональных данных ФСТЭК России?

Перечень нормативно-методических документов ФСТЭК России в области персональных данных:

а) базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
б) методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
в) основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных;
г) рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Для получения указанных документов операторы, осуществляющие обработку персональных данных, могут обратиться по адресу: 105175, г. Москва, ул. Старая Басманная, 17 или в территориальные подразделения ФСТЭК России по месту нахождения организации.

9. Какие средства должны использоваться для защиты персональных данных?

Согласно методическим документам ФСТЭК России и ФСБ России для защиты персональных данных должны использоваться только сертифицированные средства.

Перечни данных средств находятся по следующим электронным адресам.

Единый ГОСУДАРСТВЕННЫЙ РЕЕСТР сертифицированных средств защиты информации №РОССRU.0001.01БИ00 (Реестр ФСТЭК России):

http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls Перечень средств защиты информации, не содержащей сведений, составляющих государственную тайну (Перечень средств ФСБ России):
http://www.fsb.ru/fsb/supplement/contact/lsz/perechen.htm

10. Я начал определять класс информационная система персональных данных, и в соответствии с приказом трех (ФСТЭК, ФСБ, Мининформсвязи) у меня получается ряд признаков (Хнпд). Какой выбрать?

Позиция регулирующих органов такова, что из всех Хнпд, что у вас есть, вы можете выбрать тот, который позволит вам получить самый низкий класс информационной системы персональных данных.

     (1)Федеральный закон «О персональных данных», ст. 3.
     (2)Уголовный кодекс Российской Федерации, ст. 137.
     (3)Уголовный кодекс Российской Федерации, ст. 138.
     (4)Гражданский кодекс Российской Федерации, часть 1, ст. 150, 151, 152.
     (5)Кодекс Российской Федерации об административных правонарушениях, ст. 13.12.2.
     (6)Кодекс Российской Федерации об административных правонарушениях, ст. 5.39 и ст.13.12.
     (7)Кодекс Российской Федерации об административных правонарушениях, ст. 13.14.

Законодательная основа для проведения мероприятий по защите ПДн

Основные регулирующие документы:

  • Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001г. №195‑ФЗ;
  • Трудовой кодекс Российской Федерации от 30 декабря 2001г. №197‑ФЗ,
  • Федеральный закон от 27 июля 2006г. №149‑ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 27 июля 2006г. №152‑ФЗ «О персональных данных» (с изменениями от 28 марта 2008г.);
  • постановление Правительства Российской Федерации от 27 сентября 2007г. №612 «Об утверждении Правил продажи товаров дистанционным способом»;
  • постановление Правительства Российской Федерации от 17 ноября 2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • постановление Правительства Российской Федерации от 15 сентября 2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008г. №55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
  • приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 марта 2008г. №154 «Об утверждении положения о ведении реестра операторов, осу­ществля­ющих обработку персональных данных»;
  • базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 14 февраля 2008г., ДСП;
  • методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 14 февраля 2008г., ДСП;
  • основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных. ФСТЭК России, 15 февраля 2008г., ДСП;
  • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 15 февраля 2008г., ДСП;
  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ России, 21 февраля 2008г., №149/6/6-622;
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21 февраля 2008 г., №149/5‑144.

Регуляторы

Обеспечение контроля и надзора за выполнением требований по защите ПДн:

  • федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, — ФСБ России;
  • федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, — ФСТЭК России;
  • уполномоченный орган по защите прав субъектов персональных данных — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор Министерства связи и массовых коммуникаций).

Область ответственности у каждого из этих органов своя.

  • ФСБ России традиционно курирует вопросы защиты информации с использованием средств шифрования (криптографии).
  • ФСТЭК России осуществляет контроль защиты информации с использования технических средств.
  • Роскомнадзор является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются.

Виды предусмотренных законодательством проверок

Роскомнадзор:

  • по обращению субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки (Федеральный закон №152‑ФЗ от 26 июля 2006г.)
  • проверка сведений, содержащихся в уведомлении об обработке персональных данных (Федеральный закон №152‑ФЗ от 27 июля 2006г.)
  • внеплановые проверки по контролю нарушений обязательных требований (закон №134‑ФЗ от 8  августа 2001г.)

ФСТЭК России:

  • надзор за деятельностью лицензиата ФСТЭК России (постановление Правительства от 15 августа 2006г. №504)
  • по обращению Роскомнадзора (Федеральный закон №152‑ФЗ от 27 июля 2006г.)
  • внеплановые проверки по контролю нарушений обязательных требований (Федеральный закон №134‑ФЗ от 8 августа 2001г.)

ФСБ России:

  • контроль за соблюдением правил пользования средств криптографической защиты информации (при­каз ФСБ России №66 от 9 февраля 2005г. — ПКЗ-2005)
  • надзор за деятельностью лицензиата ФСБ России (постановление Правительства от 29 декабря 2007г. №957)
  • внеплановые проверки по контролю нарушений обязательных требований (Федеральный закон №134‑ФЗ от 8 августа 2001г.)
  • по обращению Роскомнадзора (Федеральный закон №152‑ФЗ от 27 июля 2006г.)