ФЗ №152

Федеральный закон № 152 "О защите персональных данных" - это основа регулирования сферы защиты персональных данных в Российской Федерации.

Важной составляющей этого закона является Статья 19 - которая касается информационной безопасности и требований к информационным системам персональных данных (ИСПДн). Она выдвигает конкретные требования к созданию, использованию и защите таких систем, чтобы обеспечить надежную защиту персональных данных.

Настоящий закон устанавливает требования по обеспечению информационной безопасности, которые должны быть внедрены для защиты этих данных от утечек, неправомерного доступа или других видов угроз. Это включает в себя - от технических и организационных мер безопасности до регулярного контроля за соблюдением этих мер.

Меры по обеспечению безопасности персональных данных при их обработке

Кого касается

• Государственные органы осуществляющие обработку персональных данных
• Муниципальны органы осуществляющие обработку персональных данных
• Юридические лица осуществляющие обработку персональных данных
• Физические лица осуществляющие обработку персональных данных

Самое главное

Основная цель Федерального закона №152-ФЗ “О персональных данных” заключается в защите прав и свобод граждан, связанных с обработкой их персональных данных, включая обеспечение конфиденциальности, целостности и доступности этих данных. Закон устанавливает требования к операторам персональных данных, которые должны соблюдать правила обработки и защиты персональных данных.

Сокращения и термины, используемые в НПА

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Краткое содержание

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Для обеспечения безопасности персональных данных применяются следующие действия: 

• Определение угроз безопасности персональных данных при их обработке в информационных системах
• Применение организационных и технических мер по обеспечению безопасности персональных данных в информационных системах, соответствующих требованиям защиты персональных данных, установленным Правительством Российской Федерации
• Прохождение процедуры оценки соответствия средств защиты информации в установленном порядке
• Оценка эффективности мер по обеспечению безопасности персональных данных перед вводом информационной системы в эксплуатацию
• Учет машинных носителей персональных данных
• Обнаружение несанкционированного доступа к персональным данным и принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных, а также реагирование на компьютерные инциденты в них 
• Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
• Установление правил доступа к персональным данным в информационной системе персональных данных, а также регистрация и учет всех действий, связанных с персональными данными
• Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данныx

С учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, где обрабатываются персональные данные, актуальности угроз безопасности персональных данных Правительством Российской Федерации устанавливаются:

• уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
• требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
• требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

Состав и содержание необходимых для выполнения установленных требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн устанавливается:

• Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
• Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляется ФСБ России и ФСТЭК России.

Оператор обязан в порядке, определенном ФСБ России, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

Приказ ФСБ России от 13.02.2023 N 77 "Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных"