кальными правовыми актами организации (при их наличии).
Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были:
- определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливается оператором в соответствии с требованиями, предъявляемыми указанными правовыми актами.
3. Основные обязанности операторов информационных систем, обрабатывающих персональные данные
Операторы обязаны обеспечивать защиту персональных данных во внедряемых информационных системах с момента их ввода в эксплуатацию.
В отношении действующих информационных систем, обрабатывающих персональные данные, операторы обязаны провести их классификацию с оформлением соответствующего акта, реализовать до 01.01.2010 комплекс мер по защите персональных данных в соответствии с перечисленными правовыми актами и методическими документами в виде системы защиты персональных данных, провести оценку соответствия информационной системы персональных данных требованиям безопасности в форме сертификации (аттестации) или декларирования соответствия.
4. Порядок проведения (или уточнения) классификации информационных систем персональных данных
Постановление Правительства Российской Федерации от 17.11.2007 N 781 возлагает обязанность классификации информационных систем персональных данных и задачу обеспечения их безопасности - на оператора персональных данных, а разработку методов и способов защиты персональных данных в информационных системах - на ФСТЭК России и ФСБ России.
Классификация информационных систем персональных данных осуществляется оператором в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" в зависимости от категории обрабатываемых данных и их количества.
Установлены следующие категории персональных данных (ПД):
Категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
Категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1;
Категория 3 - персональные данные, позволяющие идентифицировать субъекта ПД;
Категория 4 - обезличенные и (или) общедоступные персональные данные.
Информационные системы персональных данных подразделяются на типовые и специальные. К типовым системам относятся системы, в которых требуется обеспечить только конфиденциальность персональных данных. Все остальные системы относятся к специальным.
В зависимости от последствий нарушений заданной характеристики безопасности персональных данных типовой информационной системе присваивается один из классов:
класс 1 (К1) - информационные системы, для которых нарушения могут привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушения могут привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) - информационные системы, для которых нарушения могут привести к незначительным негативным последствиям для
> 1 ... 2 3 4 5 6 ... 7