Роскомнадзор выпускает неплохую методичку по обезличиванию персональных данных

Роскомнадзор выпускает неплохую методичку по обезличиванию персональных данных
Роскомнадзор выпустил  разъяснение по исполнению приказа РКН от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных". На мой взгляд - это тот нечастый случай, когда регулятор сработал скорее во благо операторов ПДн и предложил методику снижения обременений, которая позволяет не применять в отношении обезличенных данных организационные и технические меры защиты, разработанные в свою очередь ФСТЭК и ФСБ. Это не значит, что обезличенные данные не надо защищать; просто уровень и способы этой защиты выбираются уже самим оператором ПДн, а не регулятором. Правда, на мой взгляд, нынешние документы ФСТЭК и так позволяют достаточно гибко выбирать защитные мероприятия (не все коллеги со мной согласны в этом) и, по сути, методичка РКН направлена против жестких и параноидальных требований 8-го Центра ФСБ, которые я уже описывал .

Вторым несомненным достоинством документа является его методологическая составляющая. Он не просто говорит, делайте так и так. Он предлагает для разных сценариев обработки ПДн альтернативы, описывает их преимущества и недостатки, дает примеры применения. Это то, чего так не хватает российской регуляторике, ориентированной только на требования без описания особенностей их применения и реализация. Когда ФСТЭК выпустит свои методические рекомендации по реализации 17-го приказа, у нас останется только один регулятор (понятно какой), который игнорирует здравый смысл и, на мой взгляд, вполне осознанно и целенаправленно выпускает требования либо невыполнимые, либо допускающие двойственные и тройственные толкования.

В методических рекомендациях Роскомнадзора приведена таблица соответствия методов обезличивания свойствам обезличенных данных, рассмотрены вопросы организации обработки обезличенных данных, правила и рекомендации по работе с обезличенными данными.

В пресс-релизе Роскомнадзора указано, что предложенная методология обезличивания прошла процедуру согласования в Минкомсвязи России, а также обсуждение с экспертным сообществом в рамках консультативного совета при Роскомнадзоре, но я лично этого не помню и документ нам не рассылался. Но к счастью это не так уже и важно - документ получился достаточно неплохой, хотя с первого раза его будет непросто понять тем, кто ни разу не сталкивался с обезличиванием.

Документ является приложением к обязательному приказу №996 для государственных и муниципальных предприятий. Контроль исполнения рекомендаций планируется осуществлять со второго квартала 2014 года. Для коммерческих операторов ПДн документ носит рекомендательный характер, но я не думаю, что регуляторы будут иметь претензии, если коммерческий оператор ПДн реализует его и будет ссылаться на него в своих внутренних документах.
законодательство Роскомнадзор персональные данные
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь