Законодательство:

  • Конституция РФ.
  • Федеральный закон №152-ФЗ «О персональных данных».
  • Федеральный закон «Об информации, информационных технологиях и о защите информации» №149-ФЗ.
  • Федеральный закон «О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных» №160-ФЗ.
  • Трудовой кодекс.
  • Административный кодекс.
  • Уголовный кодекс.
  • Постановление Правительства от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  • Постановление Правительства от 15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
  • Постановление Правительства от 21.03.2012 г. №211 (ред. от 06.09.2014) «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
  • Приказ ФСТЭК от 18.02.2012 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Приказ ФСТЭК от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
  • Приказ ФСБ России от 10.07.2014 г. №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

Как выполнить требования законодательства?

Подход к обеспечению безопасности персональных данных должен быть комплексным и включать следующие мероприятия:

  • Выявление и описание информационных систем, обрабатывающих персональные данные: их назначение, состав обрабатываемой информации, правовые основания для осуществления обработки.
  • Разработка необходимой документации, регламентирующей все аспекты защиты персональных данных в организации.
  • Защита персональных данных с применением организационных и технических мер.
  • Проведение аттестационных испытаний информационной системы по требованиям безопасности информации.

Правовые и организационные меры:

  • Назначение ответственного за организацию обработки персональных данных.
  • Разработка и утверждение следующих документов:
    • Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных.
    • Типовая форма согласия на обработку персональных данных
    • Обязательство о неразглашении персональных данных.
    • Должностные инструкции ответственных.
    • Перечни: персональных данных; лиц, допущенных к их обработке; информационных систем персональных данных; должностей, замещение которых предусматривает осуществление обработки либо доступа к персональным данным.
    • Правила: обработки персональных данных; рассмотрения запросов субъектов персональных данных; осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
  • Обучение лиц, осуществляющих обработку персональных данных.
  • Оформление уведомления в Роскомнадзор.
  • Публикация (на сайте) документов, определяющих политику в отношении обработки персональных данных.
  • Обеспечение физической безопасности носителей персональных данных и обеспечение контроля доступа в помещения, в которых производится обработка ПДн или расположены линии связи (в том числе внутри зданий).

Технические меры:

Создание комплексной системы защиты информации, обеспечивающей:
  • защиту каналов связи криптографическими средствами;
  • защиту  АРМ со стороны внешних злоумышленников, путем межсетевого экранирования;
  • защиту АРМ от несанкционированного доступа с использованием специализированного программного обеспечения;
  • антивирусную защиту;
  • анализ защищенности ИСПДн;
  • защиту виртуальной среды (в случае применения технологий виртуализации).
А если ничего не предпринимать?
 
Ответственность предусмотрена:
УК РФ: ст. 137 (штраф до 200 тыс. руб., лишение свободы до 2х лет, лишение права занимать определенную должность).
КоАП РФ: ст. 5.39, ст. 13.11, ст. 13.12, ст. 13.14 (штрафы до 20 тыс.руб.).
 
В ближайшее время планируется ужесточение наказаний:
В соответствии с законопроектом № 683952-6 «О внесении изменений в Кодекс РФ об административных правонарушениях»: планируется увеличение размеров штрафов для граждан - до 5000 р., для должностных лиц - до 25000 р., для индивидуальных предпринимателей -до 100 000 р., для юридических лиц - до 300 000 р.
 
Кто проверит?
 
Контролирующие органы:
  • Федеральная служба безопасности Российской Федерации (ФСБ).
  • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (РОСКОМНАДЗОР).
  • Федеральная служба по техническому и экспортному контролю (ФСТЭК РОССИИ).