8 (800) 100-99-21

(Телефон горячей линии)

НАПИШИТЕ НАМ!
WHATSAPP
НАПИШИТЕ НАМ!
TELEGRAM

Статья 19. Закона о персональных данных. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

12. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

13. Указанная в части 12 настоящей статьи информация (за исключением информации, составляющей государственную тайну) передается федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в уполномоченный орган по защите прав субъектов персональных данных.

14. Порядок передачи информации в соответствии с частью 13 настоящей статьи устанавливается совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных.

Комментарий к ст. 19 Закона о персональных данных

1. Обеспечение безопасности персональных данных при их обработке — один из ключевых моментов, обусловивший принятие рассматриваемого нормативного правового акта. В целях предотвращения и нейтрализации угроз безопасности конституционным правам и свободам граждан в области духовной жизни и информационной деятельности, связанным с возможностью неправомерного или случайного доступа к их персональным данным, законодатель допускает использование оператором практически неограниченных мер, препятствующих уничтожению, изменению, блокированию, копированию, распространению персональных данных, а равно осуществлению иных неправомерных действий с ними. Реализация оператором обязанности по обеспечению безопасности персональных данных при их обработке представляется разработчикам настоящего Закона в принятии последним необходимых организационных и технических мер.

Организационные меры защиты подразумевают под собой регламентацию производственной деятельности оператора, направленную на создание условий, обеспечивающих реализацию технических мер защиты конфиденциальной информации. Организационные меры защиты персональных данных предусматривают совершенствование системы обеспечения информационной безопасности, сертификацию систем защиты конфиденциальной информации по требованиям информационной безопасности, контроль за действием персонала в защищенных информационных системах, определение порядка финансирования деятельности системы обеспечения информационной безопасности. Организационные меры защиты персональных данных обеспечивают организацию охраны и режима на объекте защиты, работы с кадрами и документами, содержащими конфиденциальные сведения, использование технических средств защиты, осуществление информационно-аналитической деятельности по выявлению угроз защищаемой информации.

Организационные меры по защите конфиденциальной информации направлены на организацию выполнения правил, процедур и требований защиты персональных данных на основе правил, установленных настоящим Законом, иными федеральными законами, подзаконными актами. Они играют существенную роль в создании надежного механизма защиты информации, так как угрозы несанкционированного доступа к ней в значительной мере обусловлены не техническими действиями. Значительно чаще утечка, хищение и уничтожение информации обусловлены злоумышленными действиями, небрежностью или халатностью пользователей или персонала защиты информации.

Организационные меры защиты персональных данных в основном направлены на предотвращение утечки защищаемой информации в печати и возникновении других условий, создающих объективные предпосылки появления каналов утечки информации. Основное их назначение — предотвратить несанкционированный доступ к защищаемой информации, ее разглашение или раскрытие. В каждом конкретном случае организационные мероприятия имеют специфическую для данной организации форму и содержание, обусловленные особенностями защищаемых сведений, существующих угроз информации, имеющихся средств защиты и др.

Технические меры защиты персональных данных — это использование различных технических, программных и аппаратных средств для защиты информации от несанкционированного доступа, копирования, модификации или уничтожения. Технические меры защиты включают в себя различные методы, применение которых может осуществляться как индивидуально, так и в совокупности.

Программно-технические методы основываются на мерах по предотвращению несанкционированного доступа к обрабатываемым персональным данным и специальных воздействий, вызывающих их разрушение, уничтожение, искажение или сбои в работе информационных систем, выявление "вредных" технических устройств и программ, исключение перехвата конфиденциальной информации техническими средствами, применение средств защиты информации, в том числе криптографических, при передаче по каналам связи.

Инженерно-технические методы представляют собой совокупность специальных органов, технических средств и мероприятий, используемых в интересах защиты информации.

По функциональному назначению средства технической защиты подразделяются на физические, аппаратные, программные и криптографические средства.

Физические средства — различные инженерные сооружения, препятствующие проникновению злоумышленников на объекты защиты. Эти средства применяются для решения следующих задач:

  • охрана территории учреждения и наблюдение за ней;
  • охрана зданий, внутренних помещений и контроль за ними;
  • осуществление контролируемого доступа в здания и помещения, в которых осуществляется обработка персональных данных.

Все физические средства защиты можно разделить на три категории: средства предупреждения, обнаружения и ликвидации угроз.

Аппаратные средства — приборы, устройства, приспособления и различные технические решения, используемые для обеспечения надежной защиты персональных данных от утечки, копирования и уничтожения. По функциональному назначению аппаратные средства подразделяются на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия угрозам защищаемой информации. Аппаратные средства не обладают достаточной гибкостью, поэтому часто теряют свои защитные свойства при раскрытии принципов их действия и в дальнейшем не могут быть использованы.

Программные средства — специальные программы, программные комплексы и системы защиты персональных данных в информационных системах различного назначения, в автоматизированных средствах сбора, накопления, хранения, обработки и передачи данных, предназначенные для решения следующих задач:

идентификации технических средств, файлов и аутентификации пользователей;

  • регистрации и контроля работы технических средств и пользователей;
  • обслуживания режимов обработки защищаемой информации;
  • защиты операционных средств ЭВМ и прикладных программ пользователей;
  • уничтожения информации в запоминающем устройстве после ее использования;
  • выявления нарушений использования ресурсов ЭВМ или компьютерной сети.

Программные средства используются в основном для защиты персональных данных в средствах вычислительной техники с целью разграничения доступа пользователей информационных сетей к соответствующим категориям защищаемой информации, защиты от хакерских атак и вредоносных программ (вирусов) и т.д. Они весьма надежны, и период их гарантированного использования без перепрограммирования достаточно продолжителен.

Криптографические средства — специальные математические и алгоритмические средства защиты персональных данных, передаваемых по системам и сетям связи, хранимых и обрабатываемых в ЭВМ, с использованием различных методов шифрования.

Для защиты конфиденциальной информации разработано множество устройств шифрования и криптозащиты телефонных и радиопереговоров, передачи текстовых файлов. Широкое распространение получили скремблеры и маскираторы, заменяющие речевой сигнал цифровой передачей данных. Производятся средства защиты телетайпов, телексов и факсов. Они занимают важное место в системе инженерно-технических средств защиты информации и выступают надежным средством обеспечения защиты информации на длительный период.

К инженерно-техническим средствам защиты информации предъявляются следующие требования:

  • состояние постоянной готовности к применению;
  • высокая степень вероятности обнаружения попыток несанкционированного проникновения на режимный объект, к носителям защищаемой информации; высокая аппаратная надежность;
  • малое энергопотребление и возможность автономного электроснабжения аппаратуры; малые габаритные размеры, обеспечивающие малозаметность технических средств защиты информации;
  • минимальные затраты на техническое обслуживание.

2. Согласно требованиям ст.17 ФЗ "О лицензировании отдельных видов деятельности" деятельность по технической защите конфиденциальной информации подлежит обязательному лицензированию в порядке и на условиях, определяемых Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным Постановлением Правительства РФ от 30 апреля 2002г. N 290. Реализация оператором обязанности по обеспечению безопасности персональных данных при их обработке с применением технических мер и использованием шифровальных (криптографических) средств, кроме того, требует, в свою очередь, оформления последним лицензий:

  • на техническое обслуживание шифровальных (криптографических) средств, при условии что такого рода деятельность осуществляется оператором самостоятельно;
  • на выявление электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд оператора).

3. Обеспечение безопасности персональных данных при их обработке требует неуклонного соблюдения эталонных требований к работе информационных систем, автоматизированных средств обработки, материальным носителям биометрических персональных данных и технологиям их хранения. Разработку указанных требований законодатель возлагает на Правительство РФ, соответствующее постановление которого предположительно должно быть принято до вступления в силу настоящего Закона.

4. Указом Президента РФ от 16 августа 2004г. N 1085 "Вопросы Федеральной службы по техническому и экспортному контролю" реализация государственной политики, организация межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

1) обеспечения безопасности информации в системах информационной и телекоммуникационной инфраструктуры;

2) противодействия иностранным техническим разведкам на территории РФ;

3) обеспечения защиты (некриптографическими методами) информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории РФ;

4) защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

5) осуществления экспортного контроля возлагается на Федеральную службу по техническому и экспортному контролю (ФСТЭК России).

ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля. ФСТЭК России в своей деятельности руководствуется Конституцией РФ, федеральными конституционными законами, федеральными законами, актами Президента РФ и Правительства РФ, международными договорами РФ, приказами и директивами министра обороны РФ в части, касающейся ФСТЭК России, а также другими нормативными правовыми актами РФ, касающимися деятельности ФСТЭК России. Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов РФ, федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления и организациями. ФСТЭК России осуществляет свою деятельность непосредственно и (или) через свои территориальные органы.

Простое решение - один звонок по телефону

Не выходя из дома, вы можете задать свой вопрос юристу совершенно бесплатно
по номеру телефона горячей линии 8 (800) 100-99-21.
Звонки принимаются 24 часа в сутки 7 дней в неделю. Если по каким-то причинам
Вам неудобно звонить то оставьте онлайн-заявку на нашем сайте с именем, городом и номером телефона.
Мы перезвоним вам в течении 10 минут, чтобы помочь разобраться со всеми трудностями.

Получить консультацию юриста по телефону Вы так же можете, не затратив ни копейки.
Так стоит ли пренебрегать представленными возможностями?
Если Ваш случай нетипичный, то после предварительного анализа мы пригласим Вас
на личную встречу в наш офис. За нее Вам также не придется платить.

2024 Юридическая компания «Консультант»