Задать вопрос

Обязательно ли выполнять все меры защиты ПДн, указанные в части 2 статьи 19 152-ФЗ?

Как-то всегда было принято, что нужно покрыть все пункты закона о персональных данных в части их защиты, но недавно в законе появилась новая мера защиты (пункт 3.1 части 2 статьи 19 152-ФЗ), а именно:
Обеспечение безопасности персональных данных достигается, в частности:
3.1) применением для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;

Есть у кого-нибудь мысли:
1. Для каких операторов это обязательно?
2. Имеются ли сертифицированные шредеры или иные уничтожители бумаг?)))
3. Значит ли это, что разработчикам программного обеспечения, которое обрабатывает персональные данные в своих базах данных, необходимо организовать интеграцию со средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия, или проводить такую процедуру со своим программным обеспечением?
  • Вопрос задан
  • 7133 просмотра
Подписаться 8 Средний Комментировать
Решения вопроса 1
@kira_clover Автор вопроса
Спустя 2 месяца, из 6 ответных писем от гос структур только 1 дельное. По крайней мере видно, что они отнеслись к вопросам серьезно и реально разъяснили, имеющуюся ситуацию.

Полный текст ответа скину в комментарии

Короткий перевод:

1. Состав и содержание мер определены приказом ФСТЭК №21 от 18.02.2013.
Для чего применяются меры защиты
Безопасность персональных данных обеспечивается оператором
Определение оператора персональных данных
Требования к мерам защиты съемных машинных носителей (указали единственное в НПА, что касается требований к уничтожению).
Упоминают меры защиты для ГИСов, утв ФСТЭК 11.02.2014. Рекомендуют, по желанию, ПДн защищать так же
2. Рассказывают про сертификацию СЗИ
Рекламируют reestr.fstec.ru, приводят в пример 3 СЗИ для уничтожении информации со съемных машинных носителей
Требования по безопасности информации к средствам, предназначенным для уничтожения бумажных носителей информации, ФСТЭК России не определены.

Рассказывают, как уничтожают бумаги Архивные фонды (с помощью шредеров)
Напоминают про необходимость составления актов уничтожения информации
3.
Порядок интеграции программного обеспечения, предназначенного для обработки персональных данных, со средствами защиты информации, прошедшими процедуру оценки соответствия, а также требования к проведению такой процедуры с указанным программным обеспечением, ФСТЭК России не определены.


Оценка - 10/10
Если б могла, еще б чаевые оставила

Если появиться еще информация - добавлю сюда
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
Francyz
@Francyz
Photographer & SysAdmin
Насколько я помню все законы надо выполнять в части защиты ПД.
1. Для всех операторов. Если у вас есть форма на сайте где человек оставляет свою почту, вы уже оператор по обработке данных и должны брать согласие на их обработку.
2. Имеются. Гуглите по теме Шредеры 4-го уровня (и выше) секретности. Максимальный 7-ой. Это те, которые крамсают бумагу в конфити, которое не склеить. В некоторых госслужбах есть шредеры которые жесткие диски с компьютера перемалывают.
3. Не подскажу, но помоему такое ПО должно будет иметь сертификацию ФСТЭК, но это не точно. И помоему такое рабочее место должно быть специально оборудовано.
Ответ написан
borisdenis
@borisdenis
Ленив и вреден...
Проконсультируйтесь у платного юриста сейчас, чем потом платить тому же юристу намного больше, за защиту вас в суде. Любое мнение или совет отсюда - не факт что верный будет и доверять ему - прямой путь к проблемам (в юр плане)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы