О защите информации и персональных данных

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ) - это основа регулирования сферы защиты персональных данных в Российской Федерации.

Важной составляющей этого закона является статья 19, которая касается информационной безопасности и требований к информационным системам персональных данных (ИСПДн). Она выдвигает конкретные требования к созданию, использованию и защите таких систем, чтобы обеспечить надежную защиту персональных данных.

Федеральный закон № 152-ФЗ устанавливает требования по обеспечению информационной безопасности, которые должны быть внедрены для защиты этих данных от утечек, неправомерного доступа или других видов угроз.

Это включает в себя от технических и организационных мер безопасности до регулярного контроля за соблюдением этих мер.

Основная цель Федерального закона № 152-ФЗ заключается в защите прав и свобод граждан, связанных с обработкой их персональных данных, включая обеспечение конфиденциальности, целостности и доступности этих данных. Закон устанавливает требования к операторам персональных данных, которые должны соблюдать правила обработки и защиты персональных данных.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Для обеспечения безопасности персональных данных применяются следующие действия:

- определение угроз безопасности персональных данных при их обработке в информационных системах.

- применение организационных и технических мер по обеспечению безопасности персональных данных в информационных системах, соответствующих требованиям защиты персональных данных, установленным Правительством Российской Федерации;

- прохождение процедуры оценки соответствия средств защиты информации в установленном порядке;

- оценка эффективности мер по обеспечению безопасности персональных данных перед вводом информационной системы в эксплуатацию;

- учет машинных носителей персональных данных;

- обнаружение несанкционированного доступа к персональным данным и принятие мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных, а также реагирование на компьютерные инциденты в них;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным в информационной системе персональных данных, а также регистрация и учет всех действий, связанных с персональными данными.

Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии со статьей 19 Федерального закона № 152-ФЗ, при обработке персональных данных в государственных информационных системах персональных данных осуществляется ФСБ России и ФСТЭК России.

Оператор обязан в порядке, определенном ФСБ России, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.