Обратный звонок

Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

Федеральный закон Российской Федерации
от 27 июля 2006 г.
№ 152-ФЗ «О персональных данных» (далее – «Закон»)

Краткие факты

Дата вступления Закона в силу: 27.07.2006 г.


  1. Что Закон требует защищать?

    Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

    Конфиденциальность персональных данных — документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. К конфиденциальной информации относятся сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

    Класс 1 (К1) — ИСПДн, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных.

  2. Какие категории ПД подлежат защите согласно Приказу ФСТЭК РФ N 55, ФСБ РФ N 86, Мининформсвязи РФ N 20 от 13.02.2008 "Об утверждении Порядка проведения классификации информационных систем персональных данных"?

    Категория 1 — специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни

    Категория 2 — персональные данные, которые позволяют идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

    Категория 3 — персональные данные, которые позволяют идентифицировать субъекта персональных данных.

    Категория 4 — обезличенные и (или) общедоступные персональные данные.


    Пример

    Отдельно фамилия является данными 4-й категории, сочетание фамилии и адреса — третьей, фамилия, адрес, номера страховок и карт — второй, а если к этим данным добавлена электронная медкарта, то такие персональные данные относятся к первой категории.

    Вывод

    Все компании так или иначе имеют (а значит согласно закону и обрабатывают) данные о своих сотрудниках, партнерах и клиентах и, следуя Закону «О персональных данных», должны защищать персональные данные (в том числе используя антивирусную защиту и средства защиты от несанкционированного доступа) - если только обрабатываемые данные не включены законом в список исключений.

  3. Кто должен защищать персональные данные?

    В соответствии со ст. 19 Закона «О персональных данных», оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

    В соответствии с Законом обеспечение безопасности персональных данных достигается, в частности:

    • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
    • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
    • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
    • установлением правил доступа к персональным данным
    • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

    «Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными».

    Вывод

    Любая компания или организация, имеющая контакты как с юридическими, так и с физическими лицами, должна защищать ПД таких лиц в том случае, если этих данных достаточно для персонализации. Как показывает практика, большинство компаний имеют и хранят такие данные.

  4. Где Закон требует защищать ПД?

    «В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты».

    Вывод

    Соответственно ИСПДн для любой компании или организации, хранящей или обрабатывающей персональные данные, имеющей подключения к открытым сетям или предусматривающей обмен данными, обязательно применение шифрования данных и электронной цифровой подписи, а также обеспечение защиты от атак из внешних сетей, включая антивирусную защиту.

    Исключение составляют сети, не обменивающиеся информацией с внешним миром. Но таких, наверное, и не бывает.

  5. Какие компании должны использовать средства, сертифицированные на НДВ?

    Согласно закону все операторы должны использовать сертифицированные - прошедшие в установленном порядке процедуру оценки соответствия - средства защиты.

    «Для информационных систем 1 класса применяется программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей».

    «Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом)».

    Вывод

    Сертифицированные на НДВ продукты должны использоваться только для ИС 1-го класса.

  6. Кто производит классификацию ИСПДн?

    «Классификация информационных систем проводится государственными органами, муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных».

    Вывод

    ИСПДн классифицирует их владелец. Это значит, что компания всегда может доказать проверяющим органам достаточность принятых в организации мер защиты персональных данных.

  7. Как классифицировать информационную систему?

    • Определяем требуемый уровень защиты персональных данных.

    • В соответствии с уровнем защиты и рекомендациями ФСТЭК формируем список угроз, актуальных для данного предприятия.

    • В соответствии с уровнем защиты и приказом ФСТЭК формируем список продуктов, необходимых к внедрению.

  8. Другие требования Закона

    Выдержки из Приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 5 февраля 2010 г. N 58 г. Москва «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

    Обеспечение централизованно управляемой файловой защиты.

    «2.4. При взаимодействии информационных систем с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с методами и способами, указанными в пункте 2.1 настоящего Положения, основными методами и способами защиты информации от несанкционированного доступа являются:

    … централизованное управление системой защиты персональных данных информационной системы».

    Обеспечение системы распределения доступа (офисный контроль).«2.2. В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений».
  9. Ответственность за нарушение требований Федерального закона «О персональных данных»

    «Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность».


Возврат к списку



×
Добавление в корзину:

Элемент не найден

Продолжить покупки Купить
×
Вход для покупателей
Введите ваш Логин Зарегистрироваться
Ваш пароль:
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:
×
Регистрация покупателя
CAPTCHA