Загрузка...

Утвержден перечень организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах

26.06.2013
3 мин.
на чтение
Прочитать позже
2-го июня 2013 г. вступил в силу Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» («Приказ»).

Правительством РФ ранее было принято Постановление от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которым, в частности, определены уровни защищенности персональных данных («ПД») при их обработке в информационных системах в зависимости от характера угроз, объема и значимости обрабатываемых сведений. 
 
Приказом установлены состав и содержание организационных и технических мер, необходимых для выполнения требований, установленных Постановлением Правительства РФ № 1119. 

Приказом определен детальный состав мер по обеспечению безопасности ПД в зависимости от уровня защищенности ПД. Введены 15 категорий мер, 8 из которых обязательны вне зависимости от уровня защищенности ПД, а именно:

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • регистрация событий безопасности;
  • антивирусная защита;
  • контроль (анализ) защищенности ПД;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, ее средств, систем связи и передачи данных.
Среди наиболее существенных новшеств соответствующих мер можно отметить защиту среды виртуализации и контроль установки обновлений программного обеспечения, которые ранее не предусматривались.

Одним из положительных нововведений Приказа является то, что оператор в случае невозможности технической реализации отдельных мер или с учетом экономической целесообразности вправе разрабатывать иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПД. В этом случае в ходе разработки системы защиты ПД должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности ПД.
В соответствии с Приказом работы по обеспечению безопасности ПД при их обработке в информационной системе и оценка эффективности мер по защите ПД в информационной системе может проводиться оператором самостоятельно или с привлечением третьего лица. Если для указанных целей привлекается третье лицо, оно в обязательном порядке должно иметь лицензию на деятельность по технической защите конфиденциальной информации.

Со вступлением в силу Приказа утрачивает силу Приказ ФСТЭК России от 05.02.2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».


Выводы и рекомендации

Мы рекомендуем в самое ближайшее время провести оценку соответствия мер, принятых в компании для защиты ПД при их обработке в информационных системах, положениям Приказа и обеспечить выполнение установленных Приказом требований. 

Неисполнение установленных требований к защите ПД может повлечь административную ответственность организации и/или ее должностных лиц. Отметим, что в соответствии с законопроектом, разработанным Роскомнадзором (в настоящее время в Государственную Думу РФ еще не внесен), планируется значительно увеличить административные штрафы за нарушение порядка сбора, хранения, использования, распространения ПД до 30 – 500 тыс. рублей для юридических лиц (в настоящее время максимальный размер административного штрафа составляет 10 тыс. рублей), а по отдельным нарушениям ввести для предпринимателей и компаний оборотные штрафы в размере 0,5-2 процента от совокупного дохода за прошлый год. 

Помощь консультантов

Специалисты компании «Пепеляев Групп» обладают значительным опытом консультирования по вопросам соблюдения законодательства о ПД и могут оказать любую необходимую помощь по организационным, правовым, а также техническим вопросам приведении деятельности компаний-операторов в соответствие с требованиями законодательства о ПД. 

ООО «Пепеляев Групп» имеет лицензии на осуществление деятельности по технической защите конфиденциальной информации и ряд лицензий ФСТЭК и ФСБ в области защиты информации, что позволяет реализовывать любые комплексные проекты в области защиты ПД.

Для получения дополнительной информации обращайтесь, пожалуйста:

В  Москве – к Юлии Бороздна, руководителю практики трудового и миграционного права «Пепеляев Групп», по тел.: (495) 967-00-07 либо по j.borozdna@pgplaw.ru; Елене Овчаровой, Руководителю группы Административно-правовой защиты бизнеса, по тел.: (495) 967-00-07 либо по e.ovcharova@pgplaw.ru;

В  Санкт-Петербурге – к Александру Коркину, старшему юристу «Пепеляев Групп» (Спб), по тел.: (812) 640-60-10 либо по a.korkin@pgplaw.ru

В Красноярске - к Егору Лысенко, руководителю сибирского отделения «Пепеляев Групп», по тел. +7 (391) 277-73-00 либо по e.lysenko@pgplaw.ru

Возврат к списку

Отправить статью

Для получения доступа к Обзорам судебной практики по налоговым спорам необходимо оформить подписку.

Год

30000 рублей + НДС

Подписаться
Я уже подписчик

Необходимо авторизоваться чтобы получить доступ

Авторизоваться

По вопросам подписки обращайтесь, пожалуйста, к Маргарите Завязочниковой
E-mail: m.zavyazochnikova@pgplaw.ru
Nел. +7 (495) 767 00 07

28.09.2022
Александр Виноградов в «Топ 100 директоров по персоналу»
28.09.2022
Елена Соколовская выступила на Антимонопольном форуме 2022
15.09.2022
Внесудебное урегулирование спора между двумя клиентами компании
15.09.2022
Сайт «Пепеляев Групп» признан лучшим среди российских юридических фирм
07.09.2022
Наталья Присекина рассказала на ВЭФ о Международном коммерческом арбитражном суд...
07.09.2022
«Пепеляев Групп» оказала правовую поддержку АО «КТК-Р» в ходе судебного разбират...
02.09.2022
Усиление IP-практики «Пепеляев Групп»
29.08.2022
Юристы «Пепеляев Групп» провели семинар для корейского бизнеса во Владивостоке