Добрый день, коллеги! Меня часто, очень часто спрашивают, где найти хорошие шаблоны для ИСПДн? Признаюсь честно, я этого не знаю. Зато я знаю, как отличить хорошие шаблоны от плохих.
Вот некоторые признаки плохих шаблонов:
1. Дата составления – до 2014 года (в 2013м появился 21 приказ ФСТЭК России, рекомендации по обезличиванию, в 2014м – приказ 378 ФСБ России).
2. Для ГИС указан 4 класс защищенности (отменен в 2017м году).
3. Определения из старой редакции ФЗ 152. Например, определение персональных данных. Если в первых редакциях оно звучало следующим образом:
«Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация».
Сейчас определение звучит немного иначе:
«Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
4. Сфера – образование (рекомендации выпускались аж в 2009м году).
5. В тексте упоминается "класс ИСПДн" вместо "уровня защищенности ПДн".
6. Старые суммы штрафов по КоАП (изменения произошли в 2017м году).
7. Согласие не соответствует требованиям закона.
8. Документов очень мало. В хорошем комплекте их будет 30 и более.
9. Упоминание типовых и специальных ИСПДн (из приказа трех).
10. В списке нормативной базы содержатся:
- Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» - отменен.
- Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 г. Москва «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» - отменен.
- Приказ трех: Приказ ФСТЭК РФ, ФСБ РФ и Минкомсвязи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» - отменен. Документ утратил силу - приказ ФСТЭК РФ N 151, ФСБ РФ N 786, Минкомсвязи РФ N 461 от 31.12.2013.
- Четверокнижие: Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных - отменен. Документ утратил силу в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58.
- Четверокнижие: Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных - - отменен. Документ утратил силу в связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58.
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144 – не действует (Сообщение ФСБ России от 21.06.2016).
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622 – не действует (Сообщение ФСБ России от 21.06.2016).
- Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» - отменен.
А как самостоятельно подготовить комплект документации вы можете узнать из моей новой книги. Чтобы приобрести книгу "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь ко мне в личные сообщения:
Вконтакте: https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova
 |
| Источник |
