ФЗ №152

Федеральный закон от 27.07.2006 N 152-ФЗ  
«О персональных данных»

Федеральный закон № 152 "О защите персональных данных" - это основа регулирования сферы защиты персональных данных в Российской Федерации.

Важной составляющей этого закона является Статья 19 -  которая касается информационной безопасности и требований к информационным системам персональных данных (ИСПДн). Она выдвигает конкретные требования к созданию, использованию и защите таких систем, чтобы обеспечить надежную защиту персональных данных/

Настоящий закон устанавливает требования по обеспечению информационной безопасности, которые должны быть внедрены для защиты этих данных от утечек, неправомерного доступа или других видов угроз.
Это включает в себя - от технических и организационных мер безопасности до регулярного контроля за соблюдением этих мер.

Меры по обеспечению безопасности персональных данных при их обработке

Кого касается

• Государственные органы осуществляющие обработку персональных данных

• Муниципальны органы осуществляющие обработку персональных данных

• Юридические лица осуществляющие обработку персональных данных

• Физические лица осуществляющие обработку персональных данных

Самое главное

Основная цель Федерального закона №152-ФЗ “О персональных данных” заключается в защите прав и свобод граждан, связанных с обработкой их персональных данных, включая обеспечение конфиденциальности, целостности и доступности этих данных. Закон устанавливает требования к операторам персональных данных, которые должны соблюдать правила обработки и защиты персональных данных.

Сокращения и термины, используемые в НПА

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Краткое содержание

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Для обеспечения безопасности персональных данных применяются следующие действия: 

• Определение угроз безопасности персональных данных при их обработке в информационных системах

• Применение организационных и технических мер по обеспечению безопасности персональных данных в информационных системах, соответствующих требованиям защиты персональных данных, установленным Правительством Российской Федерации

• Прохождение процедуры оценки соответствия средств защиты информации в установленном порядке

• Оценка эффективности мер по обеспечению безопасности персональных данных перед вводом информационной системы в эксплуатацию

• Учет машинных носителей персональных данных

• Обнаружение несанкционированного доступа к персональным данным и принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных, а также реагирование на компьютерные инциденты в них 

• Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним

• Установление правил доступа к персональным данным в информационной системе персональных данных, а также регистрация и учет всех действий, связанных с персональными данными

• Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данныx

С учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, где обрабатываются персональные данные, актуальности угроз безопасности персональных данных Правительством Российской Федерации устанавливаются:

• уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

• требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

• требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

Состав и содержание необходимых для выполнения установленных требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн устанавливается:

• Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

• Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляется ФСБ России и ФСТЭК России.

Оператор обязан в порядке, определенном ФСБ России, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

Приказ ФСБ России от 13.02.2023 N 77 "Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных"