+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Каковы требования к защите персональных данных по 152-ФЗ?

Содержание

Фз 152 о защите персональных данных

Каковы требования к защите персональных данных по 152-ФЗ?

Федеральный Закон 152 «О персональных данных» регулирует всю деятельность, связанную с обработкой персональных данных. Он призван защищать права и свободу любого гражданина Российской Федерации, защитить семейные тайны, личную и частную жизнь каждого человека.

Общие положения

Закон о персональных данных 152 регулирует все правоотношения и условия обработки личной информации любым органом, физическим или юридическим лицом. Краткое содержание закона в том, что любые органы или лица могут автоматизировать сбор и обработку персональных данных, вносить их в материальные носители или картотеки и имеют право на доступ к ним.

Использовать этот закон можно не только внутри правовых органов, но и в информационно-телекоммуникационных сетях и организациях. Принят он был 8 июля 2006 года Государственной Думой и 14 июля того же года одобрен Советом Федераций. Состоит из шести глав и 25 статей. Последние изменения в него были внесены первого июля 2017 года.

Структура закона:

  • В первой главе объясняется суть закона, его цель, основные термины и понятия, на какую сферу влияет и распространяется;
  • Во второй главе объясняется принцип работы с персональными данными в соответствии с законом. Какие условия должны соблюдаться, конфиденциальность данных пользователей, их согласие на обработку данных, специальные категории и т. д.;
  • В третьей главе описываются права, которыми обладают субъекты, чьи данные собираются и используются;
  • В четвертой главе описываются обязанности лиц, занимающихся сбором, анализом, использованием данных. Такие лица называются операторами;
  • В пятой главе говорится об ответственности операторов и каким образом государство контролирует выполнение обязательств и служение закону;
  • В шестой главе оформлены все дополнительные и заключительные положения.

С каждым изменением в законе растут требования по отношению к организациям, собирающим личную информацию граждан и к операторам.

Особенности использования персональных данных по ФЗ 152

Главное условие использования персональных данных по ФЗ 152 — сбор, обработка и использование должны быть на законных и справедливых основаниях.

Органы, которые могут использовать 152 федеральный закон:

  • Федеральный орган государственной власти;
  • Муниципальные органы;
  • Органы государственной власти субъектов Российской Федерации;
  • Органы местного самоуправления;
  • Иные государственные органы.

Использование данных лицами разрешено в случаях:

  • Предварительно определены законные и действительные цели для использования;
  • Личная информация актуальна, полна и ее достаточно для выполнения поставленной цели. При недостаточном количестве информации для выполнения задач оператор дополняет их, при избыточном количестве информации, оператор ее удаляет;
  • Если информация обрабатывается и используется в поставленные для этого сроки. Храниться данные должны в форме, позволяющей в любой момент определить субъекта. По достижению цели оператор обезличивает данные или удаляет всю информацию.

Описываемый закон принят Государственной Думой и использование личной информации для органов, организаций и определенных физических лиц разрешено Правительством Российской Федерации.

Какие были внесены поправки?

Начиная с 2009 года было внесено множество поправок в закон о персональных данных.

В статье номер 3 по последней поправке перечислены термины и определения этих терминов, статья называется «Основные понятия, используемые в настоящем Федеральном законе».

В тексте объясняется что такое персональные данные, трансграничная передача персональных данных, кто такой оператор, что такое информационная система персональных данных, как происходит обработка и что это, обезличивание, автоматизация, распространение, уничтожение, предоставление и блокирование персональных данных.

В статье номер 5 последние поправки были произведены 25 июля 2011 года при помощи закона 261 ФЗ Согласно новой редакции 5 статьи, использование и обработка личной информации справедлива и законна.

Все цели и задачи, по которым происходит сбор и обработка информации, законны и определены предварительно.

В последней редакции 5 статьи определены условия хранения такого вида информации и способы обновления и удаления ее оператором.

В статье номер 7 по последним поправкам определена суть конфиденциальности персональных данных. Оператор не имеет права распространять ее третьим лицам без согласия на то субъекта.

Поправки произошли и в статье номер 9. Новая редакция этой статьи определяет согласие субъекта на распространение и обработку персональных данных. Дееспособный субъект может согласиться на условия оператора в любой доступной ему форме, в собственных интересах и по свободной воле. Субъект имеет право отозвать согласие.

Письменное согласие субъекта на предоставление персональных данных выглядит следующим образом:

  • ФИО, адрес, идентификационный номер паспорта, информация о документе (дата и место) и т. д.;
  • Информация из доверенности при наличии представителя субъекта;
  • ФИО, адрес и должность оператора, получающего документ;
  • Цель, для чего нужны данные субъекта;
  • Перечень персональной информации субъекта, которая будет использована оператором;
  • Список действий оператора, которые он произведет по согласию субъекта;
  • Срок использования и способы отзыва документа;
  • Подпись субъекта и оператора с расшифровками.

Поправки были внесены и в статью номер 19. В тексте этой редакции говорится о мерах безопасности, которые используются для защиты прав и свободы субъектов. Оператор обязан использовать все имеющиеся меры по безопасности и защите персональных данных от неправомерного или случайного доступа к ним третьих лиц.

Происходит применение технических мер, контроль, установление порядка, установление правил, учет, восстановление и обнаружение фактов взлома и т. д. Требования к защите устанавливаются Правительством Российской Федерации.

Каждая организация или орган принимают определенный устав или правовые нормы, положения которых обязуют сотрудников принимать определенные меры для безопасности личной информации субъектов и конфиденциальности.

Скачать последнюю редакцию ФЗ 152

Последняя редакция Федерального Закона номер 152 «О персональных данных» была произведена 29 июля 2017 года. Закон 152 ФЗ о защите персональных данных в последней редакции потерпел изменения в статьях 1, 2, 3 и 6.

Чтобы защититься от проникновения в личное пространство, защитить собственную свободу и права, субъект, чья личная информация используется, может изучить 152 Федеральный Закон.

Поправки и редакции Федерального Закона номер 152 «О персональных данных» можно скачать по ссылке.

Источник: https://lawlinks.ru/fz-152-o-zashhite-personalnyx-dannyx/

Закон «О персональных данных» — что нужно знать агентству

Каковы требования к защите персональных данных по 152-ФЗ?

Многие агентства интересуются: что с этим законом делать? На что он влияет? Дело в том, что иностранные заказчики и представители иностранных компаний в России стали чаще спрашивать:

«Обеспечиваете ли вы защиту персональных данных, собираемых во время наших рекламных кампаний и поддержки сайта?».

Закон о локализации баз персональных данных на территории РФ, тесно связанный с законом «О персональных данных» и вступивший в силу 1 сентября 2015 года, сильно их напугал.

Эта статья отвечает на вопросы:

  • Что регулирует закон № 152-ФЗ «О персональных данных»?
  • Кто попадает под действие закона?
  • Какие основные требования закона № 152-ФЗ?
  • Какие существуют основные риски за невыполнение закона для организаций и должностных лиц?
  • Как лучше выполнить требования закона и показать это заказчикам?

Что регулирует закон № 152-ФЗ «О персональных данных»?

Закон регулирует все вопросы, связанные с обработкой (получением, хранением, передачей, удалением и т. д.) персональных данных физических лиц индивидуальными предпринимателями, юридическими лицами и бюджетными организациями. Организации и предприниматели обязаны правильно обрабатывать и защищать эти данные.

Теперь самый главный, комплексный и эффективный пакет MUSTHAVE для digital-агентств и веб-студий на Руварде можно приобрести в любое время сроком на 1 или 12 месяцев!

Реклама

Персональные данные — это любая информация, относящаяся к физическому лицу. Даже связка имени и адреса электронной почты уже относится к персональным данным.

В агентствах обрабатываются, как минимум, персональные данные:

  • Сотрудников;
  • Близких родственников сотрудников;
  • Кандидатов на вакантную должность;
  • Клиентов.

Какие бывают персональные данные?

Специальные персональные данные: касаются расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Биометрические персональные данные: характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Общедоступные персональные данные: сделанные физическим лицом общедоступными или содержащиеся в специальных справочниках.

Иные персональные данные: все, что не попало ни в одну из вышеуказанных категорий.

К обработке специальных и биометрических персональных данных предусмотрены особые требования.

Кто попадает под действие закона?

Все предприниматели, физические и юридические лица, бюджетные организации, обрабатывающие персональные данные физических лиц. Их называют операторами персональных данных.

В первую очередь закон касается компаний, работающих в следующих сферах:

  • Реклама и диджитал;
  • Финансы и кредитование;
  • Медицина и фармокология;
  • Телекоммуникации;
  • Образование;
  • Офлайн- и онлайн-ритейл;
  • Гостиничное дело;
  • Бюджетные организации.

Эти компании чаще всего работают с персональными данными. Поэтому главный регулятор в этой сфере — Роскомнадзор — внимательно за ними следит.

Примеры обработки персональных данных в диджитал

В первую очередь, следят за видами обработки персональных данных, которые используются:

  • Для трудоустройства сотрудников и оформления им ДМС;
  • Для выдачи карт лояльности;
  • Для рекламных и новостных рассылок;
  • Для оказания услуг;
  • Для регистрации на сайтах и информационных системах;
  • Для звонков потенциальным клиентам.

Основные требования законодательства в области персональных данных

Разделим все требования для простоты на 4 группы. Работая с персональными данными, вы должны:

1. Подготовить пакет организационно-распорядительной документации. 2. Привести процессы работы с персональными данными в соответствие с законом. 3. Реализовать техническую защиту персональных данных в информационных системах.

4. Хранить базы с персональными данными на территории Российской Федерации.

Требования по подготовке внутренних организационно-распорядительных документов

Закон в ст. 18.1 требует от операторов персональных данных иметь локальные акты и политику, регламентирующую обработку и защиту персональных данных. Точного перечня необходимых документов не предлагается.

При этом Роскомнадзор во время проверок компаний запрашивает перечень необходимых документов и сведений, которые на практике ему передают в виде копий внутренних документов.

Поскольку точного перечня документов не существует, каждый оператор персональных данных составляет их по своему усмотрению на основании текста закона и подзаконных актов.

Здесь вы найдете полный перечень необходимых документов, которых достаточно для соответствия требованиям.

Требования по приведению процессов работы с персональными данными в соответствие с законом

Персональные данные необходимо правильно собирать, обрабатывать и передавать.

Со всеми физическими лицами, у которых вы собираете персональные данные (например, через сайт клиента), должен быть заключен договор или взято согласие на их обработку.

С каждым контрагентом, которому вы передаете, предоставляете в доступ (например, другому агентству на субподряд) или от которого получаете персональные данные, необходимо заключить соглашение о поручении на их обработку.

Все сотрудники должны под роспись ознакомиться с внутренними документами организации по обработке и защите персональных данных и подписать обязательство о неразглашении.

В Роскомнадзор должно быть подано уведомление об обработке персональных данных.

Требования по технической защите персональных данных в информационных системах

Если персональные данные хранятся или как-то иначе обрабатываются в информационных системах (например, в «1С: Бухгалтерии», в базе данных сайта, CRM и других), нужно определить уровень их технической защищенности, составив соответствующий акт.

Затем нужно разработать модель угроз и на основании Постановления Правительства № 1119 и Приказа ФСТЭК России № 21 составить техническое задание на систему защиты персональных данных.

После этого разрабатывается и внедряется проект системы защиты. Внедрением может заняться сама компания или подрядчик, имеющий определенную лицензию ФСТЭК России.

Данное требование, по нашим данным, выполнили лишь 1% операторов. Во-первых, антивирус дорого стоит (закон говорит применять не просто антивирус, а сертифицированный ФСТЭК, при этом функционально они не отличаются, а по деньгам в 1.5–3 раза). Во-вторых, данное требование проверяется ФСТЭК и ФСБ России у малого и среднего бизнеса очень, очень, очень редко. Риск проверки крайне мал.

Требования по хранению баз персональных данных на территории Российской Федерации

С 1 сентября 2015 года сбор и хранение персональных данных граждан Российской Федерации может происходить только на территории Российской Федерации.

О месторасположении баз данных необходимо уведомить Роскомнадзор.

Особенно это касается иностранных и российских компаний, чьи информационные системы полностью или частично располагаются за пределами РФ.

Роскомнадзор дал операторам срок до конца февраля 2016 года, чтобы выполнить эти требования.

Кем проверяется выполнение требований закона?

Главный контролирующий орган: Роскомнадзор. Проверяет правильность обработки персональных данных и документы по персональным данным.

ФСТЭК России. Проверяет выполнение требований по технической защите.

ФСБ России. Проверяет выполнение требований по применению криптографии при обработке персональных данных.

Роскомнадзор проводит более 7000 плановых и внеплановых проверок в год, тогда как ФСТЭК и ФСБ — не более сотни проверок госсектора.

Если у Роскомнадзора к вам не будет претензий — можно сказать, что снято 99% рисков, связанных с данным законом.

Проверку локализации баз персональных данных Роскомнадзор проводит просто — запрашивает договор с российским хостинг-провайдером. После февраля проверка будет серьезнее и практичнее.

Кто несёт ответственность в случае, если хостинг-провайдер отечественный, а сервера использует зарубежные (т. е. пользователь может не знать, что его данные хранятся за границей)?

Ответственность лежит на конечном клиенте. Xостинг-провайдер может предоставлять зарубежные сервера, например, не для обработки и хранения данных персональных, а для вычислений.

Основные риски при невыполнении закона

По итогам проверок, мер систематического наблюдения и жалоб физических лиц Роскомнадзор и другие проверяющие органы могут накладывать штрафы, аннулировать лицензии, дисквалифицировать должностных лиц и блокировать сайты.

Основные риски:

  • Наложение на организацию штрафа до 300 000 рублей;
  • Наложение на должностных лиц штрафа до 10 000 рублей;
  • Разрыв трудового договора с должностным лицом;
  • Запрет руководителю занимать руководящие должности на срок до 3-х лет;
  • Блокировка сайта организации по жалобе физического лица;
  • Внесение компании в реестр нарушителей прав субъектов персональных данных.

С начала 2015 года по данным Роскомнадзора с организаций и должностных лиц было взыскано штрафов на 174 000 000 рублей.

С 1 сентября 2015 года Роскомнадзор имеет право без проверки, на основании жалобы физического лица заблокировать сайт организации за несоблюдение требований закона «О персональных данных».

Как лучше всего выполнить требования закона?

  • Собственными силами;
  • Привлечь юриста;
  • Обратиться к системному интегратору;
  • «Ждать, пока грянет гром»;
  • Использовать сервисы автоматизированной подготовки документов по персональным данным.

Рассмотрим каждый по отдельности.

Выполнение закона собственными силами

Чтобы выполнить требования, необходимо не только знать сам закон «О персональных данных» и подзаконные акты, но также разбираться в технических аспектах, чтобы описывать информационные системы персональных данных в организационно-распорядительной документации.

На поиск и разработку шаблонов документов по персональным данным, изучение законодательства и практику у вас или вашего сотрудника уйдет до 2-х месяцев. И это не даст гарантию результата: можно в чем-то ошибиться.

Выполнение закона с помощью юриста

Достаточно хороший способ, если у юриста или юридической компании, которой вы доверяете, есть необходимые знания по информационной безопасности.

Для подготовки документов по персональным данным, помимо знания самого закона, необходимо знать также подзаконные акты технического содержания и уметь регламентировать технические моменты.

При выборе такого варианта уточняйте у юриста — какие именно документы он будет разрабатывать, будет ли отображать в них технические моменты и имеет ли он опыт работы с Роскомнадзором.

Выполнение закона с привлечением системного интегратора

К системным интеграторам, как правило, обращаются большие компании и крупные государственные учреждения.

Плюсы: высокий уровень оказываемых услуг по информационной безопасности, гарантии, работа под ключ (разработка документации по персональным данным и внедрение технической защиты).

Минусы: высокая стоимость (в большинстве случаев — переваливающая за 1 000 000 рублей) и долгий срок реализации проекта, связанный с негибкостью бизнес-процессов.

«Ждать, когда грянет гром»

Единственные плюсы: отсутствие любых затрат в краткосрочной перспективе.

Минусы: рано или поздно закон придется выполнить. И лучше это сделать, пока требования не ужесточились окончательно.

Работа по ужесточению штрафных санкций Роскомнадзором ведется — в первом чтении уже принят законопроект о повышении штрафов до минимальных 30 000 рублей и максимальных 300 000 рублей за одно нарушение.

Выполнение закона с помощью сервисов автоматизированной подготовки документов по персональным данным

Плюсы: простота и доступность людям, не являющимся специалистами по информационной безопасности; невысокая стоимость; оперативная подготовка документов и консультации экспертов по безопасности.

Некоторые из сервисов также предоставляют финансовые гарантии с возмещением штрафов Роскомнадзора и помощь в прохождениях проверок.

Явные минусы: способ не подойдет крупным государственным компаниям и не поможет с полноценным внедрением системы защиты персональных данных, проверяемой в госсекторе ФСТЭК России и ФСБ России.

Почему стоит решить вопрос с выполнением требований закона «О персональных данных» именно сейчас

Это не только обязанность каждой частной или государственной компании, обрабатывающей персональные данные сотрудников и клиентов.

Заказчики (особенно иностранные) стали запрашивать не только учредительные документы, но и документы по персональным данным, чтобы подтвердить выполнение закона.

Закон стали использовать в качестве рычага давления не только органы исполнительной власти, но и конкуренты.

Какой способ вы бы ни выбрали, важно в итоге выполнить требования закона, снизив риски для компании и должностных лиц.

Источник картинки на тизере: Flickr

Источник: https://www.cossa.ru/152/116858/

Выполнение требований 152-ФЗ, инструкция

Каковы требования к защите персональных данных по 152-ФЗ?

Отношение Операторов персональных данных к требованиям законодательства разнообразно. Кто-то предпочитает ничего не делать, не подавать уведомление об обработке ПДн в Роскомнадзор и надеяться, что вопросы контроля обработки ПДн его не коснутся.

Кто-то отдает вопросы защиты информации полностью на откуп сторонним организациям. Кто-то находит шаблонные комплекты организационно-распорядительных документов в общедоступных источниках, корректирует их, распечатывает и на этом останавливается.

Каждый из этих подходов имеет свои недостатки.

Бездействие Оператора не спасает его от плановых или внеплановых (например, организованных по жалобе субъекта ПДн) проверок контролирующих органов. На фоне новостей о постоянно растущих штрафах за нарушения требований обработки ПДн такой подход выглядит малопривлекательным.

При полной передаче вопросов защиты информации на аутсорсинг появляется риск значительно переплатить. Это часто выливается в покупку дорогостоящих средств защиты информации с избыточной и не всегда востребованной функциональностью.

Кроме того, созданная и внедренная система защиты без поддержки пользователей и администраторов Оператора в какой-то момент перестает быть актуальной.

Ведь система защиты — это не только реализация технических мер и средств, а еще и организационные мероприятия, направленные на выработку сотрудниками Оператора норм и правил корректного отношения к защищаемой информации.

Шаблонные комплекты из сети позволяют создать лишь видимость защиты информации, при этом информационные системы фактически остаются уязвимы и подвержены угрозам.

Мы предлагаем синтетическую концепцию, когда уполномоченное лицо Оператора самостоятельно проходит определенные шаги построения системы защиты. А на этапе технической реализации системы защиты возможно привлечение специализированных организаций.

Такой подход позволяет уполномоченным лицам Оператора лучше понять существующие процессы обработки информации, включить в работу всех заинтересованных лиц и в результате получить эффективную систему защиты информации. Рассмотрим подход подробнее.

Нормативная база

Каждый оператор, приступая к работе, задается вопросом — с чего начать? Определимся с нормативной базой, на которую будем опираться.

Мы рекомендуем начинать с идентификации систем, в которых осуществляется обработка ПДн, и их детального изучения. Дальнейшие действия будут зависеть от того, какая перед нами система.

Разберем порядок действий на отдельно взятой информационной системе.

Гис или не гис

Сначала необходимо понять, относится ли рассматриваемая система к государственным информационным системам (ГИС) или нет. От этого будет зависеть подход к защите. Как определить, ГИС перед нами или нет, описано в отдельной статье.

Рекомендации для систем обработки ПДн далее по тексту будем называть «для ИСПДн», рекомендации для государственных систем — «для ГИС».

Актуальные угрозы ИБ

Необходимо определить, какие угрозы ИБ актуальны для рассматриваемой информационной системы. Определение актуальных угроз производится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных». В общем случае алгоритм выглядит так:

  1. По совокупности ответов на ряд первичных вопросов делается вывод об исходной защищенности информационной системы.
  2. Формируется перечень рассматриваемых угроз на основании «Базовой модели угроз безопасности персональных данных» и Банка данных угроз безопасности информации (см. выше). Для каждой угрозы экспертным путем определяется вероятность реализации.
  3. На основании вероятности реализации и уровня исходной защищенности определяется коэффициент реализуемости для каждой угрозы.
  4. Для каждой угрозы экспертным путем определяется показатель опасности для ИС и Оператора.
  5. На основании показателей реализуемости и опасности делается вывод об актуальности для каждой угрозы. Формируется перечень актуальных угроз.

Уровень защищенности ИСПДн

Необходимо определить, к какому типу относятся актуальные угрозы. Существуют три типа угроз:

  • связанные с наличием недекларированных возможностей в системном программном обеспечении;
  • связанные с наличием недекларированных возможностей в прикладном программном обеспечении;
  • не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.

Рассматриваем каждую угрозу в отдельности. Определяем, к какому максимальному типу они относятся.

Следующим шагом необходимо определить категорию обрабатываемых данных. Существуют следующие категории персональных данных:

  • специальные;
  • биометрические;
  • общедоступные;
  • иные.

В одной ИС могут обрабатываться несколько категорий персональных данных. Подробное определение категорий дано в № 152-ФЗ.

Необходимо определить объем обрабатываемых ПДн. Здесь возможны 3 вариации:

  • до 100 тысяч;
  • более 100 тысяч;
  • ПДн сотрудников Оператора (без привязки по объему).

На основании типа угроз, категории ПДн и объема ПДн делается вывод об уровне защищенности системы в соответствии с постановлением Правительства № 1119.

Для Определения УЗ можно воспользоваться специальной таблицей:

Класс ГИС

Если рассматриваемая система относится к ГИС, необходимо определить ее класс в соответствии с приказом ФСТЭК № 17 от 11.02.2013.

Для этого определяются дополнительные к предыдущему разделу показатели:

  1. Масштаб ГИС. Может быть федеральным, региональным и объектовым. Критерии определения зафиксированы в приказе ФСТЭК №17.
  2. Уровень значимости информации — определяется степенью возможного ущерба Оператора от нарушения конфиденциальности, целостности или доступности информации. Имеет три значения по убыванию значимости — УЗ1, УЗ2, УЗ3. Определяется экспертным путем. Критерии определения зафиксированы в приказе ФСТЭК № 17.

На основании уровня значимости и масштаба ИС делается вывод о классе ГИС.

Базовый набор мер

После определения уровня защищенности и класса (для ГИС) нужно перейти к формированию общего перечня требований и мер, которые необходимо обеспечить в ИС.

Для ИСПДн требования формируются в соответствии с определенным уровнем защищенности на основании № 152-ФЗ, постановления Правительства № 1119, приказа ФСБ РФ № 378 и приказа ФСТЭК № 21.

Для ГИС, помимо требований, необходимых для ИСПДн, дополнительно добавляются требования приказа ФСТЭК № 17.

В результате должен быть сформирован общий перечень требований и мер, которые необходимо обеспечить в ИС. Назовем его базовый набор мер.

Адаптированный набор мер

Следующим шагом является анализ полученного базового набора мер и его актуализация. То есть удаление из него всех мер, несвойственных рассматриваемой информационной системе. Например, удаляем меру «Защита беспроводных сетей», если беспроводные технологии в ИС не применяются. В итоге  получаем адаптированный базовый набор мер.

Дополненный набор мер

Исследуем адаптированный базовый набор мер и соотносим его с перечнем актуальных угроз ИБ. В случае если ни одна мера не закрывает отдельную актуальную угрозу, дополняем набор дополнительными мерами. В результате все актуальные угрозы должны быть закрыты мерами ИБ из набора мер. На выходе получаем дополненный адаптированный базовый набор мер.

Система защиты информации

В соответствии с полученным набором мер осуществляется выбор технических средств защиты или организационных мероприятий, направленных на выполнение мер. Происходит формирование проекта системы защиты информации.

Для ИСПДн сертифицированные средства защиты информации применяются для закрытия актуальных угроз ИБ.

Для ГИС применяются только сертифицированные средства защиты информации.

Реализуется внедрение системы защиты по созданному проекту. Внедряются организационные меры и технические средства защиты. Разрабатываются политики, положения, инструкции, которые  внедряются в процессы обработки информации.

Устанавливаются, настраиваются и вводятся в эксплуатацию средства защиты информации. На этом этапе привлекаются специализированные организации, оказывающие соответствующие услуги.

При самостоятельном внедрении ознакомьтесь с типичными ошибками при построении СЗПДН.

Контур-Безопасность: Разработка, внедрение и сопровождение систем защиты ПДн.

Заказать услугу

Аттестация

После введения системы защиты в эксплуатацию проводится оценка соответствия принятых мер требованиям законодательства.

Для ИСПДн оценка соответствия в форме аттестации не обязательна. Достаточным является проведение испытаний на соответствие требованиям безопасности с выдачей заключения. Испытания могут быть проведены оператором как самостоятельно, так и с привлечением специализированных организаций.

Для ГИС оценка соответствия в форме аттестации является обязательной процедурой. Для аттестации по требованиям безопасности информации необходимо привлечение специализированной организации, уполномоченной на данную деятельность.

Контур-Безопасность проводит аттестационные испытания и выдает аттестаты соответствия требованиям по безопасности информации.

Заказать услугу

Что в итоге

В результате данного подхода получаем систему защиты информации. Как видим,  привлечение специализированных организаций происходит только на заключительных этапах. Данный подход позволяет сэкономить организациям значительные средства, так как основную часть работ они выполняют самостоятельно.

Кроме того, последовательно выполняя шаги, уполномоченные лица Операторов напрямую участвуют в работе по защите ИС, что должно положительно сказаться на эффективности полученной системы защиты информации.

А что потом?

Система защиты информации внедрена и принята в эксплуатацию. Можно ли успокоиться и забыть о ней? Конечно нет. Мир информационных систем и технологий очень изменчив. Технологии развиваются и совершенствуются, изменяются информационные системы.

 Возможно,   через какое-то время угрозы ИБ, которые не были актуальны при проектировании системы защиты, станут актуальны.

Для поддержания системы защиты информации в рабочем состоянии рекомендуем проводить аудит информационной безопасности не реже одного раза в год, привлекая для этого специалистов — либо собственными силами.  

Удачи на пути создания собственной эффективной системы защиты информации.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Источник: https://kontur.ru/articles/1763

​​Закон 152 о персональных данных

Каковы требования к защите персональных данных по 152-ФЗ?

18.03.2019

​​С законом «О персональных данных» № 152-ФЗ так или иначе, сталкивались все. Ведь персональные данные — это наши Ф. И. О., паспортные данные, адрес проживания и другие сведения, защищены законом.

Например, приходя в поликлинику или любое другое учреждение, при заключении договора об оказании услуг, гражданина просят подписать согласие на обработку персональных данных.

Именно поэтому, так важно понимать, что такое персональные данные, зачем требуется согласие на их обработку, каким образом они обрабатываются и можно ли отозвать ранее данное согласие.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Описание закона

Государственным, муниципальным органам, а также частным организациям приходится работать с персональными данными граждан. Организации и государственные органы их хранят, обрабатывают, передают. Так как эта сфера потребовала законодательного урегулирования, возникла необходимость принятия закона.

Такой закон был принят в 2006 году. В нем отражены основные требования к организациям и государственным органам (операторам), которые имеют доступ к личным данным гражданина, имеют право на обработку и хранение такой информации.

Закон «О персональных данных» был принят в 2006 году, 27 июля. Позднее в него вносились поправки, в 2009, 2011 годах. В 2017 увеличена сумма штрафных санкций.

Главные понятия и важные детали

Рассмотрим более подробно.

Кто попадает под его действие

Ознакомиться с текстом данного закона необходимо всем, кто имеет дело с персонифицированной информацией. Это могут быть:

  • государственные органы;
  • муниципальные органы;
  • муниципальные поликлиники;
  • клиники на частной основе;
  • частные организации;
  • банки;
  • ресурсы интернета.

Категории персональных данных

Персональными данными называются сведения личного характера, которые имеют непосредственное отношение к гражданину, позволяющие его идентифицировать. Это могут быть:

  • Ф. И. О.;
  • паспортные данные;
  • адрес и номер телефона;
  • сведения о состоянии здоровья, семейном положении и другие.

Порядок использования

Персонифицированная информация, как правило, предоставляется лично гражданином при обращении им в поликлиники, банки, различные организации. При этом, представитель организации должен предоставить на подпись гражданину согласие об использовании персональных данных, это требование закона.

Равноценным такому документу признается электронный документ с электронной цифровой подписью. Согласие об обработке данных должно включать:

  • паспортные данные;
  • Ф. И. О.;
  • данные оператора (например, медицинское вмешательство при обращении в клинику);
  • цель получения данных;
  • перечень личной информации и список производимых с ней действий.

Личная информация может анализироваться в случаях, если:

  • гражданин добровольно дал согласие;
  • информация понадобилась для государственных органов для выполнения ими своих полномочий, предусмотренных законом;
  • информация требуется судебным органам;
  • существует угроза жизни лица;
  • проводится анализ данных статистики.

Читать так же:  Обработка персональных данных

В последнем случае данные могут быть обезличены.

Основные права субъектов

Субъектом персональных данных является гражданин, добровольно предоставляющий свои персонифицированные данные для обработки оператором.

Он имеет право:

  • потребовать от оператора чтобы тот уничтожил, дополнил или обновил информацию;
  • получать сведения о том, кто, каким образом и с какой целью обрабатывает его персонифицированные данные;
  • получать сведения, касающиеся обработки его личных данных.

Чтобы получить у оператора сведения об обработке личных данных, субъекту нужно направить запрос оператору, с указанием своих паспортных данных, а также подтверждения о передаче своих персональных данных. Запрос может быть направлен как письменно, так и в электронном виде с электронной цифровой подписью.

Существенные стороны закона

Основные требования закона:

  1. Требования к обороту информации на территории Российской Федерации. Подразумевается, что личные сведения, используемые операторами, должны быть получены из источников внутри страны. Не может быть использована информация, полученная из зарубежных источников. Храниться все данные должны только на российских серверах;
  2. Требования к конфиденциальности. Организация, имеющая доступ к личным данным гражданина, обязана обеспечить их сохранность. При этом под личными данными понимаются все сведения, относящиеся непосредственно к личности;
  3. Требования к добровольности. Организация, использующая личные данные, должна иметь согласие лица, чьи данные она использует.

Выполнение требований

Операторы, выполняя требования закона, производят следующие действия:

  1. Производят ознакомление гражданина с целями, условиями обработки личных данных перед их получением, а также получают письменное согласие;
  2. Запрашивают только те данные, которые требуются. Немотивированный запрос лишних сведений может стать основанием для штрафа;
  3. Предпринимают действия для защиты баз данных, регламентируют работу с ними внутри организации, назначают ответственных лиц;
  4. Уведомляют контролирующие органы о процессах обработки информации.

Персональные данные работника

Персональные данные работника включают в себя любую личную информацию, это может быть:

  • Ф. И. О.;
  • паспортные данные;
  • дата рождения;
  • фактическое место проживания и адрес прописки;
  • сведения о зарегистрированных браках и количестве детей;
  • кредиты и займы;
  • другая информация личного характера.

Ответственность за нарушение законодательства

Поправками 2017 года увеличена сумма штрафов за несоблюдение требований закона. Сумма штрафных санкций составит 10000-70000 рублей.

Нарушения в сфере закона «О защите персональных данных» включены в кодекс об административных правонарушениях РФ. Нарушениями признаются:

  1. При работе с сайтами. Если у посетителя сайта будут запрошены сканы документов, либо ему будет предоставлена недостоверная информация о цели запроса личных данных, владельцу сайта будет назначен штраф в размере 3000 руб. для физического лица и 50000 для юридического лица. При отсутствии на сайте пользовательского соглашения сумма штрафа возрастет до 5000 руб. для физического лица и 75000 для юридического лица;
  2. За рассылку оповещений людям, от которых не было получено согласие на получение сообщений рекламного характера посредством электронной почты или смс, наказывается штрафом в размере 3000 руб. для физического лица и 50000 для юридического лица;
  3. Если организация отказывает гражданину в ответ на законное требование предоставить сведения о том, как хранятся, передаются и обрабатываются его личные данные, либо сведения предоставляет, но заведомо искаженные, то такой организации будет назначен штраф. Варианты: организация не удаляет личные данные клиента по его требованию, либо иным образом препятствует его законному праву на отзыв ранее данного согласия. Такие действия наказываются штрафом в размере 2000 руб. для физического лица и 45000 для юридического лица, для предпринимателя 20000 руб.

Читать так же:  Служебное расследование

Последние изменения ФЗ «О защите персональных данных»

В 2009 году были уточнены требования к информационным системам обработки, которые необходимо было привести в соответствие с новыми требованиями. В 2011 году были скорректированы понятия и формулировки относительно персональных данных, условия по их обработке.

Источник: https://zakonoved.su/zakon-152-o-personalnyh-dannyh-otvetstvennost.html

Закон о защите персональных данных №152-ФЗ: сфера регулирования, требования, штрафы

Каковы требования к защите персональных данных по 152-ФЗ?

Закон о защите и хранении персональных данных относится к сфере информационного права Российской Федерации. Он распространяется на всю территорию страны. В связи с тем, что он является Федеральным, ни один другой нормативный правовой акт, принятый на уровне субъектов РФ, не может ему противоречить.

Первая статья ФЗ №152 «О защите персональных данных» регламентирует сферу, на которую распространяется и оказывает влияние закон. Сферой в данном случае являются те отношения, которые связаны с различными операциями с персональными данными, их обработкой и т.

д. Распространяется он на всех существующих субъектов: физических и юридических лиц, федеральные органы государственной власти, органы МСУ (местного самоуправления), органы гос. власти на уровне субъектов РФ, а также иными органами государственного управления.

Исходя из этого видно, что Федеральный Закон имеет влияние на все организации (коммерческие и государственные), которые обрабатывают информацию и личные данные граждан РФ в своих информационных системах. Стоит отметить, что от формы собственности и размера предприятия (организации) не зависит распространение закона.

Важно: среди государственных органов, осуществляющих свои полномочия в данной сфере, выделяют: ФСБ РФ, ФСТЭК России, Россвязькомнадзор.

Законодательство для владельцев сайтов

Естественно действие Федерального Закона о защите персональных данных в 2018 году затрагивает интересы и владельцев сайтов, а также иных интернет-ресурсов, деятельность которых связана со сбором личной информации граждан. Роскомнадозор осуществляет надзорные функции в отношении сайтов в текущем году более тщательно, чем в предыдущие. Большое количество интернет-ресурсов уже подверглось блокировке, а их создатели штрафам.

Открытие интернет-магазина от А до Я: пошаговая инструкция

При нарушении закона №152 «О персональных данных» владельцами сайтов действуют нормы КоАП РФ (кодекс об административных правонарушениях).

Штрафные санкции предусмотрены достаточно крупные. С июля 2017 года размер штрафов устанавливается до 75 000 рублей. Налагаемый штраф будет зависеть от того, какая часть статьи 13.

11 КоАП РФ нарушена.

Важно: возбуждать дела в данном случае будет не прокуратура, а Роскомнадзор. Примечательно, что протокол будет составляться по каждому отдельному виду нарушения (как за один визит, так и за несколько).

Закон о персональных данных регламентирует юридическую ответственность субъектов правовых отношений за нарушение данного нормативного правового акта. Статья 24 ФЗ №152 закрепляет положения о том, что лица несут ответственность в соответствии с законодательством страны.

Норма, которая соответствует каждому определенному правонарушению, определяется исходя из квалификации правонарушения. Стоит отметить, что нормы есть в различных источниках. КоАП РФ регламентирует систему штрафов за совершение правонарушения.

Если нарушается законодательство относительно персональных данных в сфере трудового права, то в таком случае регулятором выступает Трудовой Кодекс РФ. В соответствии с законом к правонарушителю могут быть применены следующие виды ответственности:

  1.  Дисциплинарная.
  2.  Гражданско-правовая.
  3.  Материальная.
  4.  Уголовная.
  5.  Административная.

Таким образом,  неправильное обращение с персональными данными может повлечь за собой даже лишение свободы. Такое бывает, например, когда затрагивается положение о неприкосновенности личной жизни.

Важно: штраф может быть отдельно за каждый вид нарушения, после составления протокола он суммируется.

Требования закона о персональных данных

Закон о неразглашении персональных данных имеет одновременно несколько направлений. Он разработан и принят для того, чтобы обезопасить частную жизнь граждан Российской Федерации посредством сохранения конфиденциальности персональных данных.

Благодаря действию закона №152 на территории РФ о персональных данных, граждане могут не беспокоиться о своей частной, личной информации. Акт направлен на защиту данных, возможны лишь способы передачи и хранения информации (устанавливаются допустимые рамки).

Как снизить риск участия в судебных разбирательствах?

Порядок передачи и удаления информации регламентирован наиболее жестко, так как это наиболее важный момент.

Актуальная редакция

На данный момент актуальна редакция Федерального Закона «О персональных данных» от 27 июля 2006 года. Наиболее значительные изменения в данном законе были введены в июле прошлого 2017 года.

В последних правках было ужесточение юридической ответственности за нарушения в данной сфере. Среди законов, которые вводили изменения, был ФЗ №242 (от 21 июля 2017 года). Именно он обновляет пункты и вносит необходимые законодательные поправки.

Полный текст документа Закона о персональных данных от 27.07 2006 можно посмотреть здесь.

Источник: https://promdevelop.ru/zakon-o-zashhite-personalnyh-dannyh-152-fz-sfera-regulirovaniya-trebovaniya-shtrafy/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.