Нажмите "Enter", чтобы перейти к контенту

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Опе­ра­тор при обра­бот­ке пер­со­наль­ных дан­ных обя­зан при­ни­мать необ­хо­ди­мые пра­во­вые, орга­ни­за­ци­он­ные и тех­ни­че­ские меры или обес­пе­чи­вать их при­ня­тие для защи­ты пер­со­наль­ных дан­ных от непра­во­мер­но­го или слу­чай­но­го досту­па к ним, уни­что­же­ния, изме­не­ния, бло­ки­ро­ва­ния, копи­ро­ва­ния, предо­став­ле­ния, рас­про­стра­не­ния пер­со­наль­ных дан­ных, а так­же от иных непра­во­мер­ных дей­ствий в отно­ше­нии пер­со­наль­ных дан­ных.

2. Обес­пе­че­ние без­опас­но­сти пер­со­наль­ных дан­ных дости­га­ет­ся, в част­но­сти:

1) опре­де­ле­ни­ем угроз без­опас­но­сти пер­со­наль­ных дан­ных при их обра­бот­ке в инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных;

2) при­ме­не­ни­ем орга­ни­за­ци­он­ных и тех­ни­че­ских мер по обес­пе­че­нию без­опас­но­сти пер­со­наль­ных дан­ных при их обра­бот­ке в инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных, необ­хо­ди­мых для выпол­не­ния тре­бо­ва­ний к защи­те пер­со­наль­ных дан­ных, испол­не­ние кото­рых обес­пе­чи­ва­ет уста­нов­лен­ные Пра­ви­тель­ством Рос­сий­ской Феде­ра­ции уров­ни защи­щен­но­сти пер­со­наль­ных дан­ных;

3) при­ме­не­ни­ем про­шед­ших в уста­нов­лен­ном поряд­ке про­це­ду­ру оцен­ки соот­вет­ствия средств защи­ты инфор­ма­ции;

4) оцен­кой эффек­тив­но­сти при­ни­ма­е­мых мер по обес­пе­че­нию без­опас­но­сти пер­со­наль­ных дан­ных до вво­да в экс­плу­а­та­цию инфор­ма­ци­он­ной систе­мы пер­со­наль­ных дан­ных;

5) уче­том машин­ных носи­те­лей пер­со­наль­ных дан­ных;

6) обна­ру­же­ни­ем фак­тов несанк­ци­о­ни­ро­ван­но­го досту­па к пер­со­наль­ным дан­ным и при­ня­ти­ем мер, в том чис­ле мер по обна­ру­же­нию, пре­ду­пре­жде­нию и лик­ви­да­ции послед­ствий ком­пью­тер­ных атак на инфор­ма­ци­он­ные систе­мы пер­со­наль­ных дан­ных и по реа­ги­ро­ва­нию на ком­пью­тер­ные инци­ден­ты в них;

7) вос­ста­нов­ле­ни­ем пер­со­наль­ных дан­ных, моди­фи­ци­ро­ван­ных или уни­что­жен­ных вслед­ствие несанк­ци­о­ни­ро­ван­но­го досту­па к ним;

8) уста­нов­ле­ни­ем пра­вил досту­па к пер­со­наль­ным дан­ным, обра­ба­ты­ва­е­мым в инфор­ма­ци­он­ной систе­ме пер­со­наль­ных дан­ных, а так­же обес­пе­че­ни­ем реги­стра­ции и уче­та всех дей­ствий, совер­ша­е­мых с пер­со­наль­ны­ми дан­ны­ми в инфор­ма­ци­он­ной систе­ме пер­со­наль­ных дан­ных;

9) кон­тро­лем за при­ни­ма­е­мы­ми мера­ми по обес­пе­че­нию без­опас­но­сти пер­со­наль­ных дан­ных и уров­ня защи­щен­но­сти инфор­ма­ци­он­ных систем пер­со­наль­ных дан­ных.

3. Пра­ви­тель­ство Рос­сий­ской Феде­ра­ции с уче­том воз­мож­но­го вре­да субъ­ек­ту пер­со­наль­ных дан­ных, объ­е­ма и содер­жа­ния обра­ба­ты­ва­е­мых пер­со­наль­ных дан­ных, вида дея­тель­но­сти, при осу­ществ­ле­нии кото­ро­го обра­ба­ты­ва­ют­ся пер­со­наль­ные дан­ные, акту­аль­но­сти угроз без­опас­но­сти пер­со­наль­ных дан­ных уста­нав­ли­ва­ет:

1) уров­ни защи­щен­но­сти пер­со­наль­ных дан­ных при их обра­бот­ке в инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных в зави­си­мо­сти от угроз без­опас­но­сти этих дан­ных;

2) тре­бо­ва­ния к защи­те пер­со­наль­ных дан­ных при их обра­бот­ке в инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных, испол­не­ние кото­рых обес­пе­чи­ва­ет уста­нов­лен­ные уров­ни защи­щен­но­сти пер­со­наль­ных дан­ных;

3) тре­бо­ва­ния к мате­ри­аль­ным носи­те­лям био­мет­ри­че­ских пер­со­наль­ных дан­ных и тех­но­ло­ги­ям хра­не­ния таких дан­ных вне инфор­ма­ци­он­ных систем пер­со­наль­ных дан­ных.

4. Состав и содер­жа­ние необ­хо­ди­мых для выпол­не­ния уста­нов­лен­ных Пра­ви­тель­ством Рос­сий­ской Феде­ра­ции в соот­вет­ствии с частью 3 насто­я­щей ста­тьи тре­бо­ва­ний к защи­те пер­со­наль­ных дан­ных для каж­до­го из уров­ней защи­щен­но­сти, орга­ни­за­ци­он­ных и тех­ни­че­ских мер по обес­пе­че­нию без­опас­но­сти пер­со­наль­ных дан­ных при их обра­бот­ке в инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных уста­нав­ли­ва­ют­ся феде­раль­ным орга­ном испол­ни­тель­ной вла­сти, упол­но­мо­чен­ным в обла­сти обес­пе­че­ния без­опас­но­сти, и феде­раль­ным орга­ном испол­ни­тель­ной вла­сти, упол­но­мо­чен­ным в обла­сти про­ти­во­дей­ствия тех­ни­че­ским раз­вед­кам и тех­ни­че­ской защи­ты инфор­ма­ции, в пре­де­лах их пол­но­мо­чий.

5. Феде­раль­ные орга­ны испол­ни­тель­ной вла­сти, осу­ществ­ля­ю­щие функ­ции по выра­бот­ке госу­дар­ствен­ной поли­ти­ки и нор­ма­тив­но-пра­во­во­му регу­ли­ро­ва­нию в уста­нов­лен­ной сфе­ре дея­тель­но­сти, орга­ны госу­дар­ствен­ной вла­сти субъ­ек­тов Рос­сий­ской Феде­ра­ции, Банк Рос­сии, орга­ны госу­дар­ствен­ных вне­бюд­жет­ных фон­дов, иные госу­дар­ствен­ные орга­ны в пре­де­лах сво­их пол­но­мо­чий при­ни­ма­ют нор­ма­тив­ные пра­во­вые акты, в кото­рых опре­де­ля­ют угро­зы без­опас­но­сти пер­со­наль­ных дан­ных, акту­аль­ные при обра­бот­ке пер­со­наль­ных дан­ных в инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных, экс­плу­а­ти­ру­е­мых при осу­ществ­ле­нии соот­вет­ству­ю­щих видов дея­тель­но­сти, с уче­том содер­жа­ния пер­со­наль­ных дан­ных, харак­те­ра и спо­со­бов их обра­бот­ки.

6. Наря­ду с угро­за­ми без­опас­но­сти пер­со­наль­ных дан­ных, опре­де­лен­ных в нор­ма­тив­ных пра­во­вых актах, при­ня­тых в соот­вет­ствии с частью 5 насто­я­щей ста­тьи, ассо­ци­а­ции, сою­зы и иные объ­еди­не­ния опе­ра­то­ров сво­и­ми реше­ни­я­ми впра­ве опре­де­лить допол­ни­тель­ные угро­зы без­опас­но­сти пер­со­наль­ных дан­ных, акту­аль­ные при обра­бот­ке пер­со­наль­ных дан­ных в инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных, экс­плу­а­ти­ру­е­мых при осу­ществ­ле­нии опре­де­лен­ных видов дея­тель­но­сти чле­на­ми таких ассо­ци­а­ций, сою­зов и иных объ­еди­не­ний опе­ра­то­ров, с уче­том содер­жа­ния пер­со­наль­ных дан­ных, харак­те­ра и спо­со­бов их обра­бот­ки.

7. Про­ек­ты нор­ма­тив­ных пра­во­вых актов, ука­зан­ных в части 5 насто­я­щей ста­тьи, под­ле­жат согла­со­ва­нию с феде­раль­ным орга­ном испол­ни­тель­ной вла­сти, упол­но­мо­чен­ным в обла­сти обес­пе­че­ния без­опас­но­сти, и феде­раль­ным орга­ном испол­ни­тель­ной вла­сти, упол­но­мо­чен­ным в обла­сти про­ти­во­дей­ствия тех­ни­че­ским раз­вед­кам и тех­ни­че­ской защи­ты инфор­ма­ции. Про­ек­ты реше­ний, ука­зан­ных в части 6 насто­я­щей ста­тьи, под­ле­жат согла­со­ва­нию с феде­раль­ным орга­ном испол­ни­тель­ной вла­сти, упол­но­мо­чен­ным в обла­сти обес­пе­че­ния без­опас­но­сти, и феде­раль­ным орга­ном испол­ни­тель­ной вла­сти, упол­но­мо­чен­ным в обла­сти про­ти­во­дей­ствия тех­ни­че­ским раз­вед­кам и тех­ни­че­ской защи­ты инфор­ма­ции, в поряд­ке, уста­нов­лен­ном Пра­ви­тель­ством Рос­сий­ской Феде­ра­ции. Реше­ние феде­раль­но­го орга­на испол­ни­тель­ной вла­сти, упол­но­мо­чен­но­го в обла­сти обес­пе­че­ния без­опас­но­сти, и феде­раль­но­го орга­на испол­ни­тель­ной вла­сти, упол­но­мо­чен­но­го в обла­сти про­ти­во­дей­ствия тех­ни­че­ским раз­вед­кам и тех­ни­че­ской защи­ты инфор­ма­ции, об отка­зе в согла­со­ва­нии про­ек­тов реше­ний, ука­зан­ных в части 6 насто­я­щей ста­тьи, долж­но быть моти­ви­ро­ван­ным.

8. Кон­троль и над­зор за выпол­не­ни­ем орга­ни­за­ци­он­ных и тех­ни­че­ских мер по обес­пе­че­нию без­опас­но­сти пер­со­наль­ных дан­ных, уста­нов­лен­ных в соот­вет­ствии с насто­я­щей ста­тьей, при обра­бот­ке пер­со­наль­ных дан­ных в госу­дар­ствен­ных инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных осу­ществ­ля­ют­ся феде­раль­ным орга­ном испол­ни­тель­ной вла­сти, упол­но­мо­чен­ным в обла­сти обес­пе­че­ния без­опас­но­сти, и феде­раль­ным орга­ном испол­ни­тель­ной вла­сти, упол­но­мо­чен­ным в обла­сти про­ти­во­дей­ствия тех­ни­че­ским раз­вед­кам и тех­ни­че­ской защи­ты инфор­ма­ции, в пре­де­лах их пол­но­мо­чий и без пра­ва озна­ком­ле­ния с пер­со­наль­ны­ми дан­ны­ми, обра­ба­ты­ва­е­мы­ми в инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных.

9. Феде­раль­ный орган испол­ни­тель­ной вла­сти, упол­но­мо­чен­ный в обла­сти обес­пе­че­ния без­опас­но­сти, и феде­раль­ный орган испол­ни­тель­ной вла­сти, упол­но­мо­чен­ный в обла­сти про­ти­во­дей­ствия тех­ни­че­ским раз­вед­кам и тех­ни­че­ской защи­ты инфор­ма­ции, реше­ни­ем Пра­ви­тель­ства Рос­сий­ской Феде­ра­ции с уче­том зна­чи­мо­сти и содер­жа­ния обра­ба­ты­ва­е­мых пер­со­наль­ных дан­ных могут быть наде­ле­ны пол­но­мо­чи­я­ми по кон­тро­лю за выпол­не­ни­ем орга­ни­за­ци­он­ных и тех­ни­че­ских мер по обес­пе­че­нию без­опас­но­сти пер­со­наль­ных дан­ных, уста­нов­лен­ных в соот­вет­ствии с насто­я­щей ста­тьей, при их обра­бот­ке в инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных, экс­плу­а­ти­ру­е­мых при осу­ществ­ле­нии опре­де­лен­ных видов дея­тель­но­сти и не явля­ю­щих­ся госу­дар­ствен­ны­ми инфор­ма­ци­он­ны­ми систе­ма­ми пер­со­наль­ных дан­ных, без пра­ва озна­ком­ле­ния с пер­со­наль­ны­ми дан­ны­ми, обра­ба­ты­ва­е­мы­ми в инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных.

10. Исполь­зо­ва­ние и хра­не­ние био­мет­ри­че­ских пер­со­наль­ных дан­ных вне инфор­ма­ци­он­ных систем пер­со­наль­ных дан­ных могут осу­ществ­лять­ся толь­ко на таких мате­ри­аль­ных носи­те­лях инфор­ма­ции и с при­ме­не­ни­ем такой тех­но­ло­гии ее хра­не­ния, кото­рые обес­пе­чи­ва­ют защи­ту этих дан­ных от непра­во­мер­но­го или слу­чай­но­го досту­па к ним, их уни­что­же­ния, изме­не­ния, бло­ки­ро­ва­ния, копи­ро­ва­ния, предо­став­ле­ния, рас­про­стра­не­ния.

11. Для целей насто­я­щей ста­тьи под угро­за­ми без­опас­но­сти пер­со­наль­ных дан­ных пони­ма­ет­ся сово­куп­ность усло­вий и фак­то­ров, созда­ю­щих опас­ность несанк­ци­о­ни­ро­ван­но­го, в том чис­ле слу­чай­но­го, досту­па к пер­со­наль­ным дан­ным, резуль­та­том кото­ро­го могут стать уни­что­же­ние, изме­не­ние, бло­ки­ро­ва­ние, копи­ро­ва­ние, предо­став­ле­ние, рас­про­стра­не­ние пер­со­наль­ных дан­ных, а так­же иные непра­во­мер­ные дей­ствия при их обра­бот­ке в инфор­ма­ци­он­ной систе­ме пер­со­наль­ных дан­ных. Под уров­нем защи­щен­но­сти пер­со­наль­ных дан­ных пони­ма­ет­ся ком­плекс­ный пока­за­тель, харак­те­ри­зу­ю­щий тре­бо­ва­ния, испол­не­ние кото­рых обес­пе­чи­ва­ет ней­тра­ли­за­цию опре­де­лен­ных угроз без­опас­но­сти пер­со­наль­ных дан­ных при их обра­бот­ке в инфор­ма­ци­он­ных систе­мах пер­со­наль­ных дан­ных.

0 0 vote
Article Rating
Подписаться
Уведомление о
guest
0 Комментарий
Inline Feedbacks
View all comments
Adblock
detector