ФЗ №152
Федеральный закон от 27.07.2006 N 152-ФЗ
«О персональных данных»
Федеральный закон № 152 "О защите персональных данных" - это основа регулирования сферы защиты персональных данных в Российской Федерации.
Важной составляющей этого закона является Статья 19 - которая касается информационной безопасности и требований к информационным системам персональных данных (ИСПДн). Она выдвигает конкретные требования к созданию, использованию и защите таких систем, чтобы обеспечить надежную защиту персональных данных/
Настоящий закон устанавливает требования по обеспечению информационной безопасности, которые должны быть внедрены для защиты этих данных от утечек, неправомерного доступа или других видов угроз.
Это включает в себя - от технических и организационных мер безопасности до регулярного контроля за соблюдением этих мер.
Меры по обеспечению безопасности персональных данных при их обработке
Кого касается
-
Государственные органы осуществляющие обработку персональных данных
-
Муниципальны органы осуществляющие обработку персональных данных
-
Юридические лица осуществляющие обработку персональных данных
-
Физические лица осуществляющие обработку персональных данных
Самое главное
Основная цель Федерального закона №152-ФЗ “О персональных данных” заключается в защите прав и свобод граждан, связанных с обработкой их персональных данных, включая обеспечение конфиденциальности, целостности и доступности этих данных. Закон устанавливает требования к операторам персональных данных, которые должны соблюдать правила обработки и защиты персональных данных.
Сокращения и термины, используемые в НПА
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств
Краткое содержание
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Для обеспечения безопасности персональных данных применяются следующие действия:
-
Определение угроз безопасности персональных данных при их обработке в информационных системах
-
Применение организационных и технических мер по обеспечению безопасности персональных данных в информационных системах, соответствующих требованиям защиты персональных данных, установленным Правительством Российской Федерации
-
Прохождение процедуры оценки соответствия средств защиты информации в установленном порядке
-
Оценка эффективности мер по обеспечению безопасности персональных данных перед вводом информационной системы в эксплуатацию
-
Учет машинных носителей персональных данных
-
Обнаружение несанкционированного доступа к персональным данным и принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных, а также реагирование на компьютерные инциденты в них
-
Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
-
Установление правил доступа к персональным данным в информационной системе персональных данных, а также регистрация и учет всех действий, связанных с персональными данными
-
Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данныx
С учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, где обрабатываются персональные данные, актуальности угроз безопасности персональных данных Правительством Российской Федерации устанавливаются:
-
уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
-
требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
-
требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
Состав и содержание необходимых для выполнения установленных требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн устанавливается:
-
Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
-
Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"
Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляется ФСБ России и ФСТЭК России.
Оператор обязан в порядке, определенном ФСБ России, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
Приказ ФСБ России от 13.02.2023 N 77 "Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных"
