Общие понятия безопасности персональных данных:
Персональные данные - любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу, то есть субъекту персональных данных.
К таким данным относятся: фамилия, имя, отчество, дата и место рождения, адрес проживания, семейное, социальное и имущественное положение, образование, профессия, данные о состоянии здоровья, о гражданстве, национальности.
Персональные данные относятся к категории данных ограниченного доступа и должны быть защищены в соответствии с требованиями законодательства Российской Федерации.Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, который самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных. Также оператор должен определять цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными.
Оператор персональных данных несет прямую ответственность за сохранность персональных данных субъекта и должен их защищать в соответствии с действующим законодательством Российской Федерации.
Если оператор персональных данных не предпринимает меры по защите персональных данных - то он несет административную ответственность в соответствии со статьей 13.11 КоАП РФ.
Мероприятия по созданию безопасности систем персональных данных включают в том числе:
- проведение обследования ИСПДн и определение необходимого уровня защищенности персональных данных;
- разработка частной модели угроз безопасности ПДн;
- разработка технического задания на создание системы защиты персональных данных, включающего состав и содержание необходимых мер по обеспечению безопасности персональных данных, определенных для установленного уровня защищенности персональных данных, с учетом актуальных угроз безопасности персональных данных и структурно-функциональных характеристик ИСПДн;
- разработка организационно-распорядительной документации, регламентирующей порядок обеспечения безопасности ПДн и эксплуатации СЗПДн;
- поставка и внедрение сертифицированных по требованиям безопасности информации средств защиты информации, оформление технического паспорта ИСПДн;
- оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных в форме аттестационных испытаний объекта информатизации.
Аттестация информационной системы персональных данных проводится в соответствии с программой и методиками аттестационных испытаний.
Контроль за обработкой персональных данных:
- Роскомнадзор. Защищает права субъекта персональных данных, осуществляет контроль и надзор за соответствием технологии обработки персональных данных требованиям законодательством РФ, а именно Федеральный закон № 152-ФЗ.
- ФСТЭК России. Осуществляет контроль и надзор за принятыми в организации организационными и техническими мерами безопасности персональных данных.
- ФСБ России. Осуществляет контроль и надзор за безопасностью персональных данных в обработке.
Федеральный закон РФ №152-ФЗ "О защите персональных данных":
...оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а так же от иных неправомерных действий в отношении персональных данных...
