Тут доступно информационное письмо Ассоциации российских банков (АРБ) по поводу июльской редакции 152-ФЗ "О персональных данных".
Краткие выводы:
- СТО БР ИББС, по-прежнему, полностью легитимен как альтернатива требованиям ФСТЭК/ФСБ по защите ПДн;
- Поправки стоит ждать не ранее того, как Правительство выпустит РД по уровням защищённости;
- Все спорные вопросы решены в пользу тех, кто принял СТО БР ИББС.
Однако я хотел бы дать некоторые советы читателям, основываясь на собственной практике общения с регуляторами:
- Классифицировать информационные системы стоит, в том числе, и по классификации К1-К4. Это обычно не несёт никаких негативных последствий, но значительно упрощает диалог с регуляторами;
- По мнению представителя Роскомнадзора, обработка резюме требует согласия кандидата, т.к. факт заключения с ним трудового договора неизвестен. Вероятно другое мнение по этому вопросу прийдётся доказывать в суде;
- Ксерокопия или скан паспорта является биометрической информацией;
- Всем, кто направил уведомление в РКН без информации об ответственном и о мерах по защите ПДн, следует направить информационное письмо с недостающей информацией в РКН до 2013г;
- Стоит так же озаботиться наличием некоторого количества сертифицированных СЗИ (например, ключей eToken). РКН может запрашивать копии сертификатов. ФСТЭК очень отрицательно относится к "одобренным руководством" несертифицированным СЗИ;
- Следует так же различать архивное хранение ПДн от хранения ПДн в действующей ИС. Архивное хранение - это бэкап БД. Поэтому не следует допускать хранение сведений об уволённых сотрудниках непосредственно в ИСПДн после окончания отчётного периода.