Научно-практический постатейный комментарий к Федеральному закону «О персональных данных» - страница 45

9. Рассматривая систему источников законодательства в области персональных данных, нельзя не упомянуть акты, которые хотя и не содержат юридически обязательных норм, но de facto оказывают серьезное влияние на регулирование отношений, связанных с реализацией оператором организационных и технических мер защиты персональных данных. К таким актам относятся национальные стандарты, каждый из которых − это документ по стандартизации, который разработан участником или участниками работ по стандартизации, по результатам экспертизы в техническом комитете по стандартизации или проектном техническом комитете по стандартизации, утвержден федеральным органом исполнительной власти в сфере стандартизации, и в нем для всеобщего применения устанавливаются общие характеристики объекта стандартизации, а также правила и общие принципы, применяемые в отношении объекта стандартизации (п. 5 ст. 2 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации»). К числу стандартов, релевантных проблематике защиты персональных данных, можно отнести следующие:

● ГОСТ Р 50922-2006. Защита информации. Основные термины и определения;

● ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения;

● ГОСТ Р 34.10-2012. Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи;

● ГОСТ Р 34.11-2012. Информационная технология. Криптографическая защита информации. Функция хэширования;

● ГОСТ Р ИСО/МЭК 15408-2013. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий (утв. приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 г. № 1340-ст);

● ГОСТ Р ИСО/МЭК 27001-2013. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. № 375-ст.);

● ГОСТ Р ИСО/МЭК 27002-2012. Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности (утв. приказом Федерального агентства по техническому регулированию и метрологии от 24 сентября 2012 г. № 423-ст);

● ГОСТ Р ИСО/МЭК 27003-2012. Информационные технологии. Методы и средства обеспечения безопасности. Система менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности (утв. приказом Федерального агентства по техническому регулированию и метрологии от 15 ноября 2012 г. № 812-ст.);

● ГОСТ Р ИСО/МЭК 27004-2011. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения (утв. приказом Федерального агентства по техническому регулированию и метрологии от 1 декабря 2011 г. № 681-ст.);

● ГОСТ Р ИСО/МЭК 27005-2010. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности (утв. приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. № 632-ст);

● ГОСТ Р ИСО/МЭК 27006-2008. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. № 524-ст).