В последнее время очень много разговоров насчет охраны персональной информации - информации которая касается личности. В связи с бурным развитием информационных технологий могут быть доступны случайно или преднамеренно информация о персоне из различных информационных ресурсов (телефоны, адрес, паспортные данные, история болезни), можно сфотографировать человека без его ведома, записать его разговоры или их часть и распространять в корыстных целях и т.д. и т.п.

У кого есть какие предложения по данному вопросу. Насколько это актуально в Узбекистане, можно тут обсудить опыт других стран, поделиться копиями нормативных документов.

Приглашаю к обсуждению с конкретными предложениями. Итогом предполагается подготовка законопроекта с учетом ваших мнений на основе широкого обсуждения.

Приглашаю к обсуждению с конкретными предложениями. Итогом предполагается подготовка законопроекта с учетом ваших мнений на основе широкого обсуждения.
Асаджон Азатбекович, если наши новые Законы будут приниматься по итогам обсуждения на форуме, то я думаю ни одного закона так и не будет принято. Как мне кажется должна быть создана рабочая группа с участием юристов , и уже готовые заготовки обсуждаться здесь. Сейчас все полезут на поисковики, натаскают кучу разношерстых документов. Если это является целью, то можно зафлудить данный вопрос изначально. В качестве примера можно привести обсуждение Закона о СМИ в части регистрации электронных СМИ. Писали много , и хотя DJ все анализировал и подытоживал - воз и ныне там. Так там хоть документ (Закон , действующий, кстати) уже есть. Есть что обсуждать.
Могу ошибаться. С уважением ко всем.
P.S. Кстати, здесь на форуме мы также не смогли точно узнать действует ли указ Президента от 2002 года в части предоставления льгот для ИКТешников или нет. Есть льготы или нет , так никто и не узнал точно.

Александр Анатольевич, рабочую группу мы обязательно создадим. Сейчас мне бы хотелось обновить базу нормативных документов по данной тематике с тем чтобы знать какие тенденции в мире есть и что из принятого работает, а что нет. Поскольку тема новая прошу оставлять только ссылки. Посты с ненужной информацией будем стирать сразу.

По мере появления концепции нашего законопроекта и его структуры будем обсуждать. А чтобы было меньше флуда приглашаем сюда пользователей с OpenID.

Поскольку тема новая прошу оставлять только ссылки.
Постараюсь помочь чем смогу.

Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781

"Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"



Опубликовано 21 ноября 2007 г.

В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет:

1. Утвердить прилагаемое Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.

2. Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением.

Председатель Правительства
Российской Федерации
В. Зубков

Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.

4. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.

5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.

6. Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации.

7. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

8. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

9. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.

11. При обработке персональных данных в информационной системе должно быть обеспечено:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) учет лиц, допущенных к работе с персональными данными в информационной системе;

з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

к) описание системы защиты персональных данных.

13. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

14. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.

15. Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.

16. При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.

17. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.

В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами информационных систем, а под контрольными тематическими исследованиями - периодически проводимые тематические исследования.

Конкретные сроки проведения контрольных тематических исследований определяются Федеральной службой безопасности Российской Федерации.

18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.

20. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

21. Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.

http://www.inforeg.ru/norma/PP781-07.html

Пару лет тому назад знакомые увидели, что на сервере знакомств от мейл.ру кто-то использовал фотографию моей дочери, опубликованную в моем ЖЖ за год-полтора до этого. Обращения к мейл-ру с просьбой убрать не помогали, помогло только обращение через ЕЖЕ-движение.
Хорошо бы учесть возможные подобные нарушения в Узнете.

И, в то же время, частично я сам виноват, ибо когда выкладывал фотку в ЖЖ не мог не знать, что ее могут использовать недобросовестные люди (это не умаляет их ответственности). То есть, я против чрезмерного "завинчивания гаек" - каждый прежде всего сам отвечает за ту информацию, которую он выкладывает о себе.
За приватную информацию о других людях, опубликованную без их согласия, естественно должно быть порицание.

http://www.medialaw.ru/publications/zip/135/3.htm - комментарий к закону РФ
http://www.rg.ru/2006/07/29/personaljnye-dannye-dok.html - Закон РФ
http://www.dvi.gov.lv/eng/legislation/pdp/- Закон Литвы
http://www.mvr.bg/NR/rdonlyres/A9C8D2F5-582E-4BED-9710-E175A9AA087F/0/08_Law_Protection_Personal_Data_EN.pdf - Закон Болгарии
http://www.ada.lt/images/cms/File/pers.data.prot.law.pdf - Закон Латвии
http://www.first.org/newsroom/globalsecurity/190360.html - Определение п.д. в штате Орегон (США)
http://www.privacyinternational.org/countries/bosnia/bosnia-dpa.html - Босния
http://www.privacyinternational.org/ - представлены в той или мере законы по защите информации ( в том числе защиты персональных данных)
http://www.medialaw.ru/laws/other_laws/european/con-autodata.htm- (http://www.medialaw.ru/laws/other_laws/european/con-autodata.htm-Конвенция) http://uforum.uz/showthread.php?t=3726 Европейская Конвенция о защите физических лиц при автоматизированной обработке персональных данных (ратифицирована РФ 19 декабря 2005 года)
Это только небольшая толика (поиск производился в течение 20 минут)
У меня только вопрос ... концептуальный - что мы хотим защищать и от кого?

Писали много , и хотя DJ все анализировал и подытоживал - воз и ныне там.

Не соглашусь. Форум свою часть задачи выполнил: было обсуждение и резюме. Данные из темы в резюмированном виде мы передали в УзАПИ. Дальше работа уже там.

Спасибо за ссылки. Отчасти эта инфа у нас уже есть. Сейчас будем работать над концепцией и структурой документа.
Сейчас идет обсуждение сделать основные положения законом или решениями правительства? как будет лучше и эффективнее?
Будем информировать о проводимой работе.

У меня только вопрос ... концептуальный - что мы хотим защищать и от кого?
Если коротко - мы хотим создать систему, позволяющую на законодательном уровне закрепить положения о защите персональной информации и незаконности несанкционированного использования указанной информации.

законом или решениями правительства?
Законом будет правильнее. Закон - выше Правительства. Закон должен исполняться Правительством (в том числе).

P.S. Кстати, здесь на форуме мы также не смогли точно узнать действует ли указ Президента от 2002 года в части предоставления льгот для ИКТешников или нет. Есть льготы или нет , так никто и не узнал точно.


Письмо с просьбой дать разъяснения по поводу отмечаемого предприятиями-участниками Ассоциации факта не представления льгот по налогу на добавленную стоимость, акцизному налогу и таможенной пошлине по завозимым компьютерной технике и комплектующих к ней, а также программным средствам определенных Указом Президента Республики Узбекистан № УП-3105 от 11.07.2002 г. от имени Ассоциации направлено в ГТК и ГНК РУ. Ждем ответ.

Законом будет правильнее. Закон - выше Правительства. Закон должен исполняться Правительством (в том числе).
Согласен Закон нужен, но учитывая, что защита персональных данных требуется еще вчера, на мой взгляд надо начинать с Постановления.
При этом в ходе реализации Постановления обязательно выявятся скрытые проблемы, а также будут отработаны методы и навыки защиты персональных данных. А вот на основании полученного опыта можно и будет принимать Закон.

Согласен Закон нужен, но учитывая, что защита персональных данных требуется еще вчера, на мой взгляд надо начинать с Постановления.
Наверное мы все таки будем принимать Закон, а после него принимать подзаконные акты. Будем создавать комплексную систему, конечно за один год это не сделаешь, но как говориться дорогу осилить идущий.

А как вам это http://mb.uzedu.uz/stat
Все данные о 9 классниках Узбекистана в Интернете открыто.
Далее зайдите по областу, по району и по школам. А там личные данные учеников.

А как вам это http://mb.uzedu.uz/stat
Все данные о 9 классниках Узбекистана в Интернете открыто.
Далее зайдите по областу, по району и по школам. А там личные данные учеников.

Если пользователь интернета регистрируется в социальных сетях, например, в том же Живом Журнале, то он автоматически соглашается с Правила и условиями этого сайта. Следовательно, размещенные им фотографии, уже становятся публичными. Поэтому владелец веб-ресурса не не может нести ответственность за дальнейшее тиражирование и распространение фотографий другими пользователями интернета. Если человек не желает, чтобы его фотографии распространялись во всемирной паутине, тогда ему не следует регистрироваться на сайтах и выкладывать свои фотографии.

тогда ему не следует
«Нет машины — сиди дома!» (http://uforum.uz/showthread.php?p=856748&postcount=61)© знакомый Ефима

А как вам это http://mb.uzedu.uz/stat
Все данные о 9 классниках Узбекистана в Интернете открыто.
Далее зайдите по областу, по району и по школам. А там личные данные учеников.

Оказывается не все данные верны. Например, не нашёл фамилию сына, школа №235 Юнусабадского района, хотя на сайте написано, что охвачено 100 % учеников.

А как вам это http://mb.uzedu.uz/stat
Все данные о 9 классниках Узбекистана в Интернете открыто.
Далее зайдите по областу, по району и по школам. А там личные данные учеников.

Оказывается не все данные верны. Например, не нашёл фамилию сына, школа №235 Юнусабадского района, хотя на сайте написано, что охвачено 100 % учеников.

Там 2011-2012 учебний год.

Там 2011-2012 учебний год.
Правильно на mb.uzedu.uz данные за прошлый учебный год.
В этом учебном году данные вводятся через сайт tashxis.uz.

Кто знает, проект закона о персональных данных уже готов?

Кто знает, проект закона о персональных данных уже готов?
Где-то краем уха слышал, что пока нет.

Кто знает, проект закона о персональных данных уже готов?А зачем он Вам?

Кто знает, проект закона о персональных данных уже готов?А зачем он Вам?

Тема соприкасается с моей дипломной работой.
Помню что постановлением Президента (номер не помню) поручалось разработать проект закона в текущем году.
Почему спрашиваете?

Так как данный закон будет иметь силу только в пределах РУз.
Это значит что вы не сможете подать в суд или написать жалобу на человека который без вашего разрешения использовал ваши персональные данные если к примеру он живет в Италии!

в любом случае нужно создать международную сообщество по защите персональных данных в сети интернет!

Это как-то пересекается с использованием специальных технических средств, предназначенных для негласного получения информации? Согласно ст. 138 УК РФ: Незаконные производство, сбыт или приобретение в целях сбыта специальных технических средств, предназначенных для негласного получения информации, -
наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо ограничением свободы на срок до трех лет, либо лишением свободы на срок до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
В нашем уголовном кодексе не нашел ничего подобного. Кто-нибудь владеет официальной информацией о том насколько законно пользоваться ручками с видеокамерами, диктофонами и прочими "шпионскими штучками"?

Незаконные производство, сбыт или приобретение в целях сбыта
насколько законно пользоваться Это несколько разные понятия - производство, продажа ИЛИ использование....

официальной информацией о том насколько законно пользоваться ручками с видеокамерами, диктофонами и прочими "шпионскими штучками"Полученная таким способом информация (если она сделана без уведомления "пациенту" о записи разговора) не может являться официальным доказательством. Кроме того, нельзя распространять полученную без согласия запись (аудио либо видео).

Это несколько разные понятия - производство, продажа ИЛИ использование....
Ну это по российскому законодательству. По нашему вообще ничего не нашел.

Полученная таким способом информация (если она сделана без уведомления "пациенту" о записи разговора) не может являться официальным доказательством.
Нашел документ "ПОСТАНОВЛЕНИЕ
ПЛЕНУМА ВЕРХОВНОГО СУДА РЕСПУБЛИКИ УЗБЕКИСТАН О НЕКОТОРЫХ ВОПРОСАХ ПРИМЕНЕНИЯ НОРМ ЗАКОНА, ОТНОСЯЩИХСЯ К ДОКАЗАТЕЛЬСТВАМ, ПРИ РАССМОТРЕНИИ СУДАМИ ГРАЖДАНСКИХ ДЕЛ (http://lex.uz/pages/getpage.aspx?lact_id=1591196)".
Пункт 8 гласит:
Статья 27 Конституции Республики Узбекистан гарантирует каждому право на защиту от вмешательства в его частную жизнь, согласно которой никто не вправе нарушать тайну переписки и телефонных разговоров иначе как в случае и порядке, предусмотренных законом.
Однако, судам следует иметь в виду, что представленные участвующими в деле лицами суду видео или аудиозаписи, содержащие имеющие значение для дела обстоятельства, свидетельствующие об их вступлении в гражданско-правовые отношения, должны быть оценены судом в качестве основания заявленных требований и возражений в совокупности с другими доказательствами.
Лицо, представляющее видео или аудиозаписи, обязано указать, когда, кем и при каких условиях осуществлялись записи.

Нет требования об уведомлении "пациенту".