Законодательство:
- Конституция РФ.
- Федеральный закон №152-ФЗ «О персональных данных».
- Федеральный закон «Об информации, информационных технологиях и о защите информации» №149-ФЗ.
- Федеральный закон «О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных» №160-ФЗ.
- Трудовой кодекс.
- Административный кодекс.
- Уголовный кодекс.
- Постановление Правительства от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
- Постановление Правительства от 15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
- Постановление Правительства от 21.03.2012 г. №211 (ред. от 06.09.2014) «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
- Приказ ФСТЭК от 18.02.2012 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- Приказ ФСТЭК от 11.02.2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
- Приказ ФСБ России от 10.07.2014 г. №378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».
Как выполнить требования законодательства?
Подход к обеспечению безопасности персональных данных должен быть комплексным и включать следующие мероприятия:
- Выявление и описание информационных систем, обрабатывающих персональные данные: их назначение, состав обрабатываемой информации, правовые основания для осуществления обработки.
- Разработка необходимой документации, регламентирующей все аспекты защиты персональных данных в организации.
- Защита персональных данных с применением организационных и технических мер.
- Проведение аттестационных испытаний информационной системы по требованиям безопасности информации.
Правовые и организационные меры:
- Назначение ответственного за организацию обработки персональных данных.
-
Разработка и утверждение следующих документов:
- Порядок доступа служащих государственного или муниципального органа в помещения, в которых ведется обработка персональных данных.
- Типовая форма согласия на обработку персональных данных
- Обязательство о неразглашении персональных данных.
- Должностные инструкции ответственных.
- Перечни: персональных данных; лиц, допущенных к их обработке; информационных систем персональных данных; должностей, замещение которых предусматривает осуществление обработки либо доступа к персональным данным.
- Правила: обработки персональных данных; рассмотрения запросов субъектов персональных данных; осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
- Обучение лиц, осуществляющих обработку персональных данных.
- Оформление уведомления в Роскомнадзор.
- Публикация (на сайте) документов, определяющих политику в отношении обработки персональных данных.
- Обеспечение физической безопасности носителей персональных данных и обеспечение контроля доступа в помещения, в которых производится обработка ПДн или расположены линии связи (в том числе внутри зданий).
Технические меры:
Создание комплексной системы защиты информации, обеспечивающей:
- защиту каналов связи криптографическими средствами;
- защиту АРМ со стороны внешних злоумышленников, путем межсетевого экранирования;
- защиту АРМ от несанкционированного доступа с использованием специализированного программного обеспечения;
- антивирусную защиту;
- анализ защищенности ИСПДн;
- защиту виртуальной среды (в случае применения технологий виртуализации).
А если ничего не предпринимать?
Ответственность предусмотрена:
УК РФ: ст. 137 (штраф до 200 тыс. руб., лишение свободы до 2х лет, лишение права занимать определенную должность).
КоАП РФ: ст. 5.39, ст. 13.11, ст. 13.12, ст. 13.14 (штрафы до 20 тыс.руб.).
В ближайшее время планируется ужесточение наказаний:
В соответствии с законопроектом № 683952-6 «О внесении изменений в Кодекс РФ об административных правонарушениях»: планируется увеличение размеров штрафов для граждан - до 5000 р., для должностных лиц - до 25000 р., для индивидуальных предпринимателей -до 100 000 р., для юридических лиц - до 300 000 р.
Кто проверит?
Контролирующие органы:
- Федеральная служба безопасности Российской Федерации (ФСБ).
- Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (РОСКОМНАДЗОР).
- Федеральная служба по техническому и экспортному контролю (ФСТЭК РОССИИ).