Нормативно-правовые акты

  • Федеральный закон «О персональных данных» от 27.07.2006 г. №152-ФЗ (текст)
  • Требования к защите персональных данных при их обработке в информационных системах персональных данных (Постановление Правительства РФ от 01.11.2012 г. №1119) (текст)
  • Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации(Постановление Правительства РФ от 15.09.2008 г. №687) (текст)
  • Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных(Постановление Правительства РФ от 06.07.2008 г. №512) (текст)
  • Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами(Постановление Правительства Российской Федерации от 21.03.2012 г. №211) (текст)

Структура нормативно-правовых актов, регламентирующих обработку и защиту персональных данных, представлена на рисунке ниже:


В соответстии с положениями Постановления Правительства РФ №1119 действует приказ ФСТЭК России от 18.02.2013 г. №21 (текст), устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Меры защиты, указанные в приложении к Приказу №21 ФСТЭК России, были конкретизированы в методическом документе от 11 февраля 2014 г. «Меры защиты информации в госудраственных информационных системах», и хотя данный документ формально не относится к защите ПДн, фактически он разъясняет содержание мер, определенных Приказом №21.

10 июля 2014 г. также утвержден приказ ФСБ России №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (текст). В случае, если организация использует СКЗИ для защиты ПДн, то данный документ должен обязательно применяться.

* В связи с изменениями в Федеральном законе «О персональных данных» от 25.07.2011 №261-ФЗ и приведением подзаконных актов в соответствие изменениям утратили силу следующие документы:

  • Постановление Правительства от 17.11.2007 г. №781
  • Приказ ФСТЭК России, ФСБ России, Мининформсвязи от 13.02.2008 г. №55/86/20
  • Приказ ФСТЭК России от 05.02.2010 г. №58

Указанные ниже документы могут рассматриваться как справочные или методические, не обязательные к использованию операторами ПДн, поскольку документы не были актуализированы в связи с изменениями ФЗ-152 и отменой ПП-781:

  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных(утверждена Заместителем директора ФСТЭК России 14.02.2008 г.)
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных(утверждена Заместителем директора ФСТЭК России 15.02.2008 г.)
  • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации(утверждены руководством 8 Центра ФСБ России 21.02.2008 №149/54-144)
  • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных(утверждены руководством 8 Центра ФСБ России 21.02.2008 №149/6/6-622)