|
|
@@ -0,0 +1,90 @@
|
|
|
+# Общие требования по защите персональных данных
|
|
|
+В современных условиях защита персональных данных (ПДн) является одной из ключевых задач обеспечения информационной безопасности государства, бизнеса и граждан. В Российской Федерации основным нормативным документом, регламентирующим эту сферу, выступает Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Общие требования по защите информации такого типа направлены на создание условий, при которых обрабатываемые данные остаются конфиденциальными, целостными и доступными только для уполномоченных лиц.
|
|
|
+
|
|
|
+Центральной фигурой в процессе обеспечения безопасности является оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и осуществляющие обработку ПДн. Оператор обязан определить перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законом. Эти меры можно разделить на правовые, организационные и технические.
|
|
|
+
|
|
|
+К правовым мерам относится разработка локальных нормативных актов, определяющих политику обработки данных, а также установление правил доступа к информации. Организационные меры включают в себя назначение ответственных лиц, ограничение доступа в помещения, где обрабатываются данные, и обучение персонала. Технические меры подразумевают использование средств защиты информации (СЗИ), в том числе сертифицированных ФСТЭК России, для предотвращения несанкционированного доступа, копирования или уничтожения данных.
|
|
|
+
|
|
|
+Важным этапом является проведение оценки вреда, который может быть причинен субъектам ПДн в случае нарушения безопасности их данных. На основе этой оценки, а также с учетом угроз безопасности, оператор устанавливает уровень защищенности персональных данных (1, 2, 3 или 4). Для каждого уровня существуют свои требования к применяемым средствам защиты. Особое внимание уделяется защите данных при их передаче через информационно-телекоммуникационные сети, включая сеть Интернет. Нарушение установленных требований влечет за собой административную, гражданско-правовую и уголовную ответственность.
|
|
|
+
|
|
|
+# Основные обязанности оператора
|
|
|
+Оператор ПДн — государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и осуществляющее обработку персональных данных.
|
|
|
+
|
|
|
+# Его ключевые обязанности включают:
|
|
|
+
|
|
|
+Регистрация в реестре Роскомнадзора. С середины 2025 года все компании и ИП, собирающие или обрабатывающие ПДн, обязаны пройти регистрацию в реестре операторов. За отсутствие регистрации предусмотрены штрафы до 300 тыс. руб. для юрлиц и до 50 тыс. руб. для ИП.
|
|
|
+Локализация данных. Все личные данные граждан РФ должны храниться на серверах, расположенных в России. Использование иностранных облаков или зарубежных сервисов без уведомления и первичного размещения данных на российских ресурсах недопустимо. С 1 июля 2025 года нарушение этого правила влечёт штраф до 6 млн руб. (ч. 8 ст. 13.11 КоАП РФ).
|
|
|
+
|
|
|
+Получение отдельных согласий. С 1 сентября 2025 года согласие на обработку ПДн оформляется в виде отдельного документа, его нельзя включать в общие пользовательские соглашения или договоры. Для особых категорий данных (биометрия, сведения о здоровье и т. д.) требуется строгое отдельное согласие и усиленные меры защиты.
|
|
|
+Минимизация сбора данных. Компания вправе собирать только те сведения, которые необходимы для конкретной цели.
|
|
|
+Уничтожение данных. Когда необходимость в данных исчезает, они подлежат удалению в течение 30 дней, если иной срок не предусмотрен соглашением между оператором и субъектом.
|
|
|
+
|
|
|
+# Меры защиты
|
|
|
+
|
|
|
+Меры защиты делятся на правовые, организационные и технические.
|
|
|
+Правовые меры включают разработку локальных нормативных актов: политики обработки ПДн, регламентов, инструкций, журналов учёта и т. д..
|
|
|
+
|
|
|
+# Организационные меры:
|
|
|
+
|
|
|
+назначение ответственного лица за защиту данных;
|
|
|
+ограничение доступа в помещения, где обрабатываются данные;
|
|
|
+обучение персонала;
|
|
|
+разработка порядка оценки эффективности мер защиты;
|
|
|
+ведение документации (журналы учёта, соглашения о неразглашении).
|
|
|
+
|
|
|
+# Технические меры:
|
|
|
+
|
|
|
+использование сертифицированных средств защиты информации (СЗИ), прошедших процедуру оценки соответствия требованиям законодательства;
|
|
|
+
|
|
|
+шифрование данных;
|
|
|
+антивирусная защита;
|
|
|
+журналирование событий;
|
|
|
+контроль доступа (аутентификация, авторизация);
|
|
|
+средства контроля целостности;
|
|
|
+резервное копирование данных;
|
|
|
+системы обнаружения несанкционированного доступа.
|
|
|
+
|
|
|
+# Уровни защищённости
|
|
|
+
|
|
|
+Постановление №1119 устанавливает четыре уровня защищённости (УЗ) ПДн в зависимости от категории данных, количества субъектов, актуальных угроз и других факторов.
|
|
|
+
|
|
|
+УЗ-1 Угрозы I типа и работа со специальными, биометрическими или иными категориями ПД; угрозы II типа и работа со специальными категориями ПД свыше 100 тыс. человек.
|
|
|
+
|
|
|
+УЗ-2 Угрозы I типа и работа с общедоступными данными; угрозы II типа и работа с данными сотрудников оператора или со специальной категорией менее 100 тыс. человек; угрозы II типа и работа с биометрическими данными и др..
|
|
|
+
|
|
|
+УЗ-3 Угрозы II типа и работа с общедоступными данными до 100 тыс. человек; угрозы II типа и работа с другими категориями до 100 тыс. человек; угрозы III типа и работа со специальными категориями до 100 тыс. человек и др..
|
|
|
+
|
|
|
+УЗ-4 Угрозы III типа и работа с общедоступной информацией; угрозы III типа и обработка других категорий менее 100 тыс. человек.
|
|
|
+
|
|
|
+Для каждого уровня установлены свои требования к мерам защиты. Например, для УЗ-1 и УЗ-2 обязательны использование сертифицированных СЗИ, строгий контроль физического доступа к серверам, проведение регулярных аудитов и аттестации системы. Для УЗ-3 и УЗ-4 требования смягчаются, но организационные меры (политика обработки, журналы учёта и т. д.) обязательны для всех уровней.
|
|
|
+
|
|
|
+# Ответственность за нарушения
|
|
|
+Нарушение требований 152-ФЗ влечёт административную, гражданско-правовую и уголовную ответственность.
|
|
|
+
|
|
|
+Административная ответственность предусмотрена ст. 13.11 КоАП РФ.
|
|
|
+
|
|
|
+Например:
|
|
|
+
|
|
|
+обработка ПДн без оснований или не по целям — штраф для юрлиц до 300 тыс. руб. (ч. 1 ст. 13.11 КоАП РФ);
|
|
|
+обработка без согласия — штраф для юрлиц до 700 тыс. руб. (ч. 2 ст. 13.11 КоАП РФ);
|
|
|
+утечка данных — штрафы в зависимости от объёма нарушений (ч. 12–17 ст. 13.11 КоАП РФ), например, за утечку биометрических данных — от 15 до 20 млн руб. для юрлиц и ИП (ч. 17 ст. 13.11 КоАП РФ).
|
|
|
+Уголовная ответственность наступает по ст. 137 УК РФ за незаконное собирание или распространение информации о частной жизни другого лица с использованием служебного положения, а также по ст. 272.1 УК РФ за незаконное использование, передачу и хранение компьютерной информации с ПДн.
|
|
|
+
|
|
|
+С 30 мая 2025 года введены новые штрафы за утечку персональных данных, а также ужесточены санкции за повторные нарушения.
|
|
|
+
|
|
|
+# Дополнительные требования
|
|
|
+
|
|
|
+Политика конфиденциальности. Оператор обязан обеспечить свободный доступ к Политике обработки персональных данных. Если у компании есть сайт, документ должен быть там опубликован.
|
|
|
+Уведомление о утечке. При инциденте с утечкой данных оператор обязан уведомить Роскомнадзор в установленные сроки. За несвоевременное уведомление предусмотрен штраф до 3 млн руб. (ч. 11 ст. 13.11 КоАП РФ).
|
|
|
+Трансграничная передача данных. При передаче ПДн за пределы России оператор должен убедиться, что в стране-получателе обеспечивается адекватная защита. Передача допускается в государства из перечня, утверждённого Роскомнадзором. Если данные необходимо отправить в страну, не входящую в этот список, оператор обязан уведомить Роскомнадзор и обеспечить защиту данных договорными механизмами.
|
|
|
+Для соблюдения требований законодательства рекомендуется проводить регулярный аудит ИТ-инфраструктуры, обновлять документацию и обучать персонал.
|
|
|
+
|
|
|
+# Заключение
|
|
|
+
|
|
|
+Эффективная защита персональных данных требует системного подхода, сочетающего чёткое соблюдение законодательства, внедрение современных технологий безопасности и формирование культуры информационной безопасности внутри организации. Игнорирование этих требований не только влечёт серьёзные финансовые и репутационные потери, но и подрывает доверие клиентов и партнёров — ключевой актив любого бизнеса. Для операторов ПДн критически важно не ограничиваться формальным выполнением норм, а выстраивать непрерывный процесс совершенствования системы защиты с учётом развития угроз и изменений в правовом поле.
|
|
|
+
|
|
|
+# Список источников
|
|
|
+Федеральный закон №152-ФЗ «О персональных данных» от 27.07.2006 г. (ред. от 01.07.2021) // Российская газета. — 2006.
|
|
|
+Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. // КонсультантПлюс.
|
|
|
+https://www.smart-soft.ru/blog/praktika-sozdanie-sistemy-zaschity-personaljnyh-dannyh/
|
|
|
+https://its.1c.ru/db/bizlegsup/content/257/hdoc
|
