152 фз о защите персональных

IT-инфраструктура Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре. Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Миф 1.

Если Вам необходима помощь справочно-правового характера (у Вас сложный случай, и Вы не знаете как оформить документы, в МФЦ необоснованно требуют дополнительные бумаги и справки или вовсе отказывают), то мы предлагаем бесплатную юридическую консультацию:

  • Для жителей Москвы и МО - +7 (499) 653-60-72 Доб. 417
  • Санкт-Петербург и Лен. область - +7 (812) 426-14-07 Доб. 929

Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017 Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017 20. О том, как избежать штрафов при проверках Роскомнадзора, БУХ. Штрафы за несоблюдение требований Федерального закона "О персональных данных" были повышены в соответствии с Федеральным законом от 07. Новые штрафы по сравнению с действующими выросли в разы. Максимальный порог штрафа для организаций повышен до 75 тысяч рублей, максимальный штраф для предпринимателей увеличили до 20 тысяч рублей.

(ФЗ) к ФЗ «О персональных защиты персональных. Федеральным законом от 25 ноября года N ФЗ (Российская закону от 27 июля года N ФЗ "О персональных данных" . 6) обработка персональных данных необходима для защиты жизни. в силу поправки в закон № ФЗ «О персональных данных». . Список документов, связанных с защитой персональных данных.

Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ (последняя редакция)

Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации и без применения таких средств. К настоящей Политике имеет доступ любой субъект персональных данных. Определения Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу гражданину. Обработка персональных данных — любое действие операция или совокупность действий операций с персональными данным, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям операциям можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение обновление, изменение , извлечение, использование, передачу распространение, предоставление, доступ , обезличивание, блокирование, удаление, уничтожение персональных данных. Для каждого лица определены перечень действий операций с персональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных. В целях информационного обеспечения в Общества могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты. Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов. Общество уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости достижения цели обработки. Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных"

IT-инфраструктура Всем привет! Я руковожу центром киберзащиты DataLine. К нам приходят заказчики с задачей выполнения требований 152-ФЗ в облаке или на физической инфраструктуре. Практически в каждом проекте приходится проводить просветительскую работу по развенчанию мифов вокруг этого закона. Я собрал самые частые заблуждения, которые могут дорого обойтись бюджету и нервной системе оператора персональных данных. Миф 1. Я поставил антивирус, межсетевой экран, огородил стойки забором.

Я же соблюдаю закон? Поэтому соблюдение 152-ФЗ начинается не с антивируса, а с большого количества бумажек и организационных моментов. Главный проверяющий, Роскомнадзор, будет смотреть не на наличие и состояние технических средств защиты, а на правовые основания для обработки персональных данных ПДн : с какой целью вы собираете персональные данные; не собираете ли вы их больше, чем нужно для ваших целей; сколько храните персональные данные; есть ли политика обработки персональных данных; собираете ли согласие на обработку ПДн, на трансграничную передачу, на обработку третьими лицами и пр.

Ответы на эти вопросы, а также сами процессы должны быть зафиксированы в соответствующих документах. Вот далеко не полный список того, что нужно подготовить оператору персональных данных: Типовая форма согласия на обработку персональных данных это те листы, которые мы сейчас подписываем практически везде, где оставляем свои ФИО, паспортные данные.

Политика оператора в отношении обработки ПДн тут есть рекомендации по оформлению. Приказ о назначении ответственного за организацию обработки ПДн. Должностная инструкция ответственного за организацию обработки ПДн. Правила внутреннего контроля и или аудита соответствия обработки ПДн требованиям закона. Перечень информационных систем персональных данных ИСПДн.

Регламент предоставления доступа субъекта к его ПДн. Регламент расследования инцидентов. Приказ о допуске работников к обработке ПДн. Регламент взаимодействия с регуляторами. Форма поручения обработки ПДн. Модель угроз ИСПДн. После решения этих вопросов можно приступать к подбору конкретных мер и технических средств. Какие именно понадобятся вам, зависит от систем, условий их работы и актуальных угроз.

Но об этом чуть позже. Реальность: соблюдение закона — это налаживание и соблюдение определенных процессов, в первую очередь, и только во вторую — использование специальных технических средств. Миф 2. Я храню персональные данные в облаке, дата-центре, соответствующем требованиям 152-ФЗ. Теперь они отвечают за соблюдение закона Когда вы отдаете на аутсорсинг хранение персональных данных облачному провайдеру или в дата-центр, то вы не перестаете быть оператором персональных данных.

Призовем на помощь определение из закона: Обработка персональных данных — любое действие операция или совокупность действий операций , совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение обновление, изменение , извлечение, использование, передачу распространение, предоставление, доступ , обезличивание, блокирование, удаление, уничтожение персональных данных.

Источник: статья 3, 152-ФЗ Из всех этих действий сервис-провайдер отвечает за хранение и уничтожение персональных данных когда клиент расторгает с ним договор. Все остальное обеспечивает оператор персональных данных. Обычно провайдер помогает оператору тем, что обеспечивает соответствие требованиям закона на уровне инфраструктуры, где будут размещаться ИСПДн оператора: стойки с оборудованием или облако.

Он также собирает пакет документов, принимает организационные и технические меры для своего куска инфраструктуры в соответствие с 152-ФЗ. Некоторые провайдеры помогают с оформлением документов и обеспечением технических средств защиты для самих ИСПДн, т. Оператор тоже может отдать эти задачи на аутсорсинг, но сама ответственность и обязательства по закону никуда не исчезают. Реальность: обращаясь к услугам провайдера или дата-центра, вы не можете передать ему обязанности оператора персональных данных и избавиться от ответственности.

Если провайдер вам это обещает, то он, мягко говоря, лукавит. Миф 3. Необходимый пакет документов и мер у меня есть. Персональные данные храню у провайдера, который обещает соответствие 152-ФЗ. Все в ажуре? Да, если вы не забыли подписать поручение. По закону оператор может поручить обработку персональных данных другому лицу, например, тому же сервис-провайдеру.

Поручение — это своего рода договор, где перечисляется, что сервис-провайдер может делать с персональными данными оператора. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта далее — поручение оператора.

Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. Источник: п. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. Источник: 152-ФЗ. В поручении также важно прописать обязанность обеспечения защиты персональных данных: Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные далее — оператор , или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора далее — уполномоченное лицо.

Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе. Источник: Постановление Правительства РФ от 1 ноября 2012 г.

В поручении указывайте требование по обеспечению защиты ПДн субъектов. Иначе вы не соблюдаете закон в части передачи работ обработки персональных данных третьим лицом и провайдер в части соблюдения 152-ФЗ вам ничего не обязан. Миф 4. Чаще всего это не так. Вспомним матчасть, чтобы разобраться, почему так получается. УЗ, или уровень защищенности, определяет, от чего вы будете защищать персональные данные.

На уровень защищенности влияют следующие моменты: тип персональных данных специальные, биометрические, общедоступные и иные ; кому принадлежат персональные данные — сотрудникам или несотрудникам оператора персданных; количество субъектов персональных данных — более или менее 100 тыс. Про типы угроз нам рассказывает Постановление Правительства РФ от 1 ноября 2012 г. Вот описание каждого с моим вольным переводом на человеческий язык. Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных недекларированных возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных недекларированных возможностей в прикладном программном обеспечении, используемом в информационной системе. Если считаете, что угрозы второго типа — это ваш случай, то вы спите и видите, как те же агенты ЦРУ, МИ-6, МОССАД, злобный хакер-одиночка или группировка разместили закладки в каком-нибудь пакете программ для офиса, чтобы охотиться именно за вашими персональными данными.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных недекларированных возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. Вам не подходят угрозы 1 и 2 типов, значит, вам сюда.

С типами угроз разобрались, теперь смотрим, какой же уровень защищенности будет у нашей ИСПДн. Таблица на основе соответствий, прописанных в Постановлении Правительства РФ от 1 ноября 2012 г. Единственное исключение, когда угрозы 1 и 2 типа не актуальны, но уровень защищенности все равно будет высоким УЗ-2 , — это компании, которые обрабатывают специальные персональные данные несотрудников в объеме более 100 000.

Например, компании, занимающиеся медицинской диагностикой и оказанием медицинских услуг. Есть еще УЗ-4, и он встречается в основном у компаний, чей бизнес не связан с обработкой персональных данных несотрудников, т. Почему так важно не переборщить с уровнем защищенности? Все просто: от этого будет зависеть набор мер и средств защиты для обеспечения этого самого уровня защищенности.

Чем выше УЗ, тем больше всего надо будет сделать в организационном и техническом плане читай: тем больше денег и нервов нужно будет потратить. Вот, например, как меняется набор мер обеспечения безопасности в соответствии с тем же ПП-1119.

К этому документу есть длиннющее приложение, где определяются необходимые меры. Если оставить только те, которые нужны для УЗ-3, то получится 41.

Реальность: если вы не собираете анализы или биометрию клиентов, вы не параноик боитесь закладок в системном и прикладном ПО, то, скорее всего, у вас УЗ-3. Для него предусмотрен вменяемый список организационных и технических мер, которые реально выполнить. Миф 5. Все средства защиты СЗИ персональных данных должны быть сертифицированы ФСТЭК России Если вы хотите или обязаны провести аттестацию, то скорее всего вам придется использовать сертифицированные средства защиты.

Аттестацию будет проводить лицензиат ФСТЭК России, который: заинтересован продать побольше сертифицированных СЗИ; будет бояться отзыва лицензии регулятором, если что-то пойдет не так. Постараюсь кратко привести обоснование. В пункте 2 статьи 19 152-ФЗ говорится о том, что нужно использовать средства защиты, прошедшие в установленном порядке процедуру оценки соответствия: Обеспечение безопасности персональных данных достигается, в частности: [...

В пункте 13 ПП-1119 также есть требование об использовании средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства: [... Что общего у этих формулировок? Правильно — в них нет требования использовать сертифицированные средства защиты.

Дело в том, что форм оценки соответствия несколько добровольная или обязательная сертификация, декларирование соответствия. Сертификация — это лишь одна из них. Оператор может использовать несертифицированные средства, но нужно будет продемонстрировать регулятору при проверке, что для них пройдена процедура оценки соответствия в какой-либо форме.

При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации: Реальность: закон не требует обязательного использования сертифицированных средств защиты. Миф 6. На самом деле использовать их нужно лишь в случае, если оператор не видит для себя иных мер защиты, кроме как применение криптографии.

Например, вы решили разместить ИСПДн в облаке сервис-провайдера, но не доверяете ему. Свои опасения вы описываете в модели угроз и нарушителя.

КС1 — это, например, C-Терра Виртуальный шлюз 4. Это специфические программно-аппаратные комплексы, их сложно эксплуатировать, а характеристики производительности скромные.

Закон 152-ФЗ о персональных данных: как обезопасить бизнес от новых штрафов с 1 июля 2017

Ответы на вопросы в сфере защиты прав субъектов персональных данных Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций? Ответ: Уполномоченный орган - федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. Вопрос: Кто может являться оператором персональных данных? Ответ: В соответствии п. При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор. Вопрос: Что включает в себя понятие конфиденциальности?

О персональных данных (с изменениями на 31 декабря 2017 года)

Отправлять повторный запрос для получения сведений. Срок обработки ограничивается достижением конкретных целей. Для осуществления правосудия, предоставления государственных услуг. Для исполнения договора, стороной которого является субъект ПДн. По достижении целей обработки ПДн должны быть обезличены или уничтожены. Не собирать лишние данные. N 242-ФЗ. Выдержка из закона 2. Пример чекбокса 3. Цель обработки ПДн.

ПОСМОТРИТЕ ВИДЕО ПО ТЕМЕ: Закон 152-ФЗ "О персональных данных" - Что необходимо знать о поправках и как оформить сайт.

Федеральный закон от 27.07.2006 г. № 152-ФЗ

Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер по обеспечению безопасности персональных данных при их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных. Штраф за невыполнения тех или иных действий, предусмотренных в законе, составит от 10 000 до 75 000 руб. Существенные стороны закона[ править править код ] В соответствии с законом, в России существенно возрастают требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные в том числе фамилию, имя, отчество. Такие компании, организации и физические лица относятся к операторам персональных данных.

в силу поправки в закон № ФЗ «О персональных данных». . Список документов, связанных с защитой персональных данных. ФЗ «О персональных данных» Внедряемые в рамках ФЗ средства защиты могут успешно применяться для выполнения требований других. 3 Федерального закона от г. № ФЗ «О персональных данных​» оператор - государственный орган, муниципальный орган.

.

Закон "О персональных данных"

.

.

.

.

.

Понравилась статья? Поделиться с друзьями:
Комментариев: 3
  1. Иосиф

    Распечатываю… на стенку в самое видное место!!!

  2. Викторина

    не отказалась бы,

  3. Ираида

    Огромное человеческое спасибочки !

Добавить комментарий

Отправляя комментарий, вы даете согласие на сбор и обработку персональных данных