1 Статья 3. Основные понятия, используемые в настоящем Федеральном законе Статья 3. Основные понятия, используемые в настоящем Федеральном законе Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. «О персональных данных» Федеральный закон от 27 июля 2006 г. 152-ФЗ

2 Статья 4. Законодательство Российской Федерации в области персональных данных Статья 4. Законодательство Российской Федерации в области персональных данных На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. «О персональных данных» Федеральный закон от 27 июля 2006 г. 152-ФЗ

3 Статья 6. Условия обработки персональных данных Статья 6. Условия обработки персональных данных Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона. статьей 19 статьей 19 «О персональных данных» Федеральный закон от 27 июля 2006 г. 152-ФЗ

4 Статья Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими Федеральными законами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими Федеральными законами. «О персональных данных» Федеральный закон от 27 июля 2006 г. 152-ФЗ

5 Статья К таким мерам могут, в частности, относиться: 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений; 3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего ФЗ; 3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего ФЗ;статьей 19статьей 19 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом; 5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом; 6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. 6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. «О персональных данных» Федеральный закон от 27 июля 2006 г. 152-ФЗ

6 Статья 19. Меры по обеспечению безопасности персональных данных при их обработке Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 2. Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в ИСПДн; 1) определением угроз безопасности персональных данных при их обработке в ИСПДн; 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн; 4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн; 5) учетом машинных носителей персональных данных; 5) учетом машинных носителей персональных данных; 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер; 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие НСД к ним; 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие НСД к ним; 8) установлением правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн; 8) установлением правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн; 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн. 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн. «О персональных данных» Федеральный закон от 27 июля 2006 г. 152-ФЗ

7 Статья 19. Статья Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. 9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности (ФСБ России), и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. «О персональных данных» Федеральный закон от 27 июля 2006 г. 152-ФЗ

8 Статья Статья Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; 2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных. 2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных. «О персональных данных» Федеральный закон от 27 июля 2006 г. 152-ФЗ

9 Поручение Правительства Российской Федерации от 3 ноября 2011 г. ВВ-П п/п Название проекта нормативного правового актаСрок представления Ответственные исполнители 1.Постановление Правительства РФ о перечне мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами декабрь 2011 г. Минкомсвязь России ФСБ России, ФСТЭК России, Роскомнадзор 2.Постановление Правительства РФ об установлении уровней защищенности ПДн при их обработке в ИСПДн в зависимости от угроз безопасности этих данных май 2012 ФСБ России, ФСТЭК России, Минкомсвязь России 3.Постановление Правительства Российской Федерации об утверждении требований к защите ПДн при их обработке в ИСПДН, исполнение которых обеспечивает установленные уровни защищенности ПДн май 2012 ФСБ России, ФСТЭК России, Минкомсвязь России 4.Постановление Правительства РФ об утверждении порядка согласования решений ассоциаций, союзов и иных объединений операторов об определени дополнительных угроз безопасности ПДн, актуальных при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с федеральных органом исполнительной власти, уполномоченным в области обеспечения безопасности, и с федеральным органом власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации август 2012 ФСБ России ФСТЭК России

10 Поручение Правительства Российской Федерации от 3 ноября 2011 г. ВВ-П п/ п Название проекта нормативного правового актаСрок представления Ответственн ые исполнители 1.Приказ ФСБ России об утверждении состава и содержания необходимых для установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, в сфере деятельности ФСБ России Июль 2012ФСБ России 2.Приказ ФСТЭК России об утверждении состава и содержания необходимых для установленных Правительством Российской Федерации требований к защите ПДн для каждого из уровней защищенности организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, в сфере деятельности ФСТЭК России Июль 2012ФСТЭК России 3.Приказ Роскомнадзора об утверждении перечня иностранных государств, не являющимися сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, и обеспечивающих адекватную защиту прав субъектов персональных данных Декабрь 2012Роскомнадзор

11 1. Операторы, являющиеся государственными или муниципальными органами, принимают следующие меры: а) назначают ответственного за организацию обработки персональных данных; б) утверждают необходимые документы; в) принимают меры по обеспечению безопасности персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных; г) при обработке персональных данных, осуществляемой без использования средств автоматизации, выполняют требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"; д) организуют проведение периодических проверок условий обработки персональных данных; е) осуществляют ознакомление служащих с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных служащих; ж) уведомляют об обработке (намерении осуществлять обработку) персональных данных; з) осуществляют обезличивание персональных данных, обрабатываемых в ИСПДн; 2. Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения. Постановление Правительства Российской Федерации от 21 марта 2012 г. 211

12 Операторы, являющиеся государственными или муниципальными органами, утверждают следующие документы: правила обработки персональных данных; правила рассмотрения запросов субъектов персональных данных или их представителей; правила осуществления внутреннего контроля; правила работы с обезличенными данными; перечень ИСПДн; перечни персональных данных; перечень должностей служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных; перечень должностей служащих, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным; должностная инструкция ответственного за организацию обработки персональных данных; типовое обязательство служащего; типовая форма согласия на обработку персональных данных субъектов персональных данных; типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные; порядок доступа служащих в помещения, в которых ведется обработка персональных данных. Постановление Правительства Российской Федерации от 21 марта 2012 г. 211

13 Статья 19. Статья Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает: 1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных; 2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных «О персональных данных» Федеральный закон от 27 июля 2006 г. 152-ФЗ

14 А – обработка ПДн субъектов ПДн У1 – угрозы 1-го типа (НДВ в системном ПО) У2 – угрозы 2-го типа (НДВ в прикладном ПО) У3 – угрозы 3-го типа (НДВ в сист. и прикл. ПО) Уз4 – 4-й уровень защищенности: безопасность помещений, где размещена ИСПДн; сохранность носителей ПДн; перечень сотрудников, обрабатывающих ПДн Уз3 – 3-й уровень защищенности (дополнительно к Уз4): должностное лицо (работник), ответственное за ОБ ПДн Уз2 – 2-й уровень защищенности (дополнительно к Уз3) доступ к содержанию эл. журнала обращений у лиц для выполнения ими служ. обязанностей Уз1 – 1-й уровень защищенности (дополнительно к Уз2): автоматич. регистрация в эл. журнале безопасности изменений прав пользователей ИСПДн; наличие структурного подразделения по ОБ ПДн Постановление Правительства Российской Федерации от 1 ноября 2012 г сотрудники (не сотрудники) специальные ПДн биометр. ПДн общедоступн. ПДн иные категории ПДн Уз1 У1 (У1; У2, >А) У1 (У1) Уз2 У2 (У2; А) У2 (У2) У1 (У1; У2, >А) (У2, >А) Уз3У3 (У3,