МонИТор

Документы, нормативные акты, официальные сообщения

Об обязательных документах

Принят Федеральный закон № 28-ФЗ от 26.03.2008 «О внесении изменений в Федеральный закон «Об обязательном экземпляре документов»», в соответствии с которым внесенные изменения касаются, в частности, определения ряда основных понятий, применяемых в целях Федерального закона «Об обязательном экземпляре документов», целей формирования системы обязательного экземпляра, видов документов, входящих в состав обязательного экземпляра, а также вопросов доставки обязательного экземпляра печатных изданий, неопубликованных документов, официальных документов, стандартов, электронных изданий, аудиовизуальной продукции и документов, выполненных на различных носителях.

Упразднено понятие «обязательный платный экземпляр», а также нормы о целях и порядке его формирования.

Перечень видов документов, которые входят в состав обязательного экземпляра, дополнен следующими видами: программы для электронных вычислительных машин и базы данных на материальном носителе; стандарты; комбинированные
документы.

В связи с этим признаны утратившими силу соответствующие нормы Федерального закона № 19-ФЗ от 11.02.2002 «О внесении изменений и дополнений в Федеральный закон “Об обязательном экземпляре документов”».

***

Формы учета продукции в ЕГАИС

С соответствие с приказом Минфина РФ № 29н от 26.02.2008 (зарегистрирован в Минюсте РФ за № 11356 от 18.03.2008) фиксация в ЕГАИС организаций, осуществляющих производство и оборот алкогольной продукции, будет осуществляться по установленным формам. Утверждены формы и порядок заполнения заявок о фиксации, подтверждений о фиксации и уведомлений об отказе в фиксации в ЕГАИС информации об организации, осуществляющей производство или оборот, в том числе импорт, этилового спирта, алкогольной и спиртосодержащей продукции, о продукции, об объеме производства и оборота продукции, о документах, разрешающих и сопровождающих производство и оборот продукции, а также формы и порядок заполнения запросов организаций о предоставлении информации, содержащейся в единой информационной системе, и справок, предоставляемых налоговыми органами на эти запросы.

***

Классификация информационных систем

Приказом ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ №20 от 13.02.2008 установлен порядок проведения классификации информационных систем. Классификация проводится с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных. Проведение классификации включает в себя сбор и анализ исходных данных по информационной системе, а также присвоение информационной системе соответствующего класса. Определены характеристики информационных систем, категории обрабатываемых персональных данных, классы, которым должны соответствовать информационные системы.

1. Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее — информационные системы), см. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ № 781 от 17.11. 2007 (далее — Положение).

2. Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими или осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее — оператор).

3. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.

4. Проведение классификации информационных систем включает в себя следующие этапы: сбор и анализ исходных данных по информационной системе, присвоение информационной системе соответствующего класса и его документальное оформление.

5. При проведении классификации информационной системы учитываются следующие исходные данные:

категория обрабатываемых в информационной системе персональных данных;
объем обрабатываемых персональных данных;
заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
структура информационной системы;
наличие подключений информационной системы к сетям связи общего пользования или сетям международного информационного обмена;
режим обработки персональных данных;
режим разграничения прав доступа пользователей информационной системы;
местонахождение технических средств информационной системы.

6. Определяются следующие категории обрабатываемых в информационной системе персональных данных:

категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 — обезличенные или общедоступные персональные данные.

7. Показатель объема обрабатываемых персональных данных может принимать следующие значения:

в информационной системе одновременно обрабатываются персональные данные более чем 100 тыс. субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта РФ или РФ в целом;
в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 тыс. субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики РФ, в органе государственной власти, проживающих в пределах муниципального образования;
в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

8. По заданным оператором характеристикам безопасности обрабатываемых персональных данных информационные системы подразделяются на типовые и специальные информационные системы.

9. По структуре информационные системы подразделяются:

на автономные комплексы технических и программных средств, предназначенные для обработки персональных данных;
на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа;
на комплексы автоматизированных рабочих мест или локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа.

10. По наличию подключений к сетям связи общего пользования или сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.

11. По режиму обработки персональных данных информационные системы подразделяются на однопользовательские и многопользовательские.

12. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.

13. Информационные системы, в зависимости от местонахождения их технических средств, подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами РФ.

14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:

класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

15. Класс типовой информационной системы определяется в соответствии с таблицей:

Категории обрабатываемых в информационной системе персональных данных	Показатель объема обрабатываемых персональных данных
	3	2	1
4	К4	К4	К4
3	К3	К3	К2
2	К3	К2	К1
1	К1	К1	К1

16. По результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с Постановлением Правительства РФ № 781 от 17.11.2007 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

17. В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.

18. Результаты классификации информационных систем оформляются соответствующим актом оператора.

19. Класс информационной системы может быть пересмотрен по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей или изменений конкретной информационной системы; по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

Источники: www.government.ru, www.consultant.ru