Обеспечение безопасности и защита персональных данных при их обработке

21 августа 2023 г.

Любая компания или индивидуальный предприниматель, работающие с персональными данными (далее также – «ПД») физических лиц, считаются операторами персональных данных персональных данных. Ключевой обязанностью оператор персональных данных персональных данных является обеспечение безопасности и защита персональных данных от неправомерных действий с ними.

В настоящее время вопросы обеспечения информационной безопасности являются под особым контролем органов власти ввиду как развития информатизации практически во всех сферах деятельности, так и внешнеполитических причин и событий на международной арене, а также масштабного развития киберпреступности.

В статье рассмотрим, какие меры обязан разрабатывать и реализовать оператор персональных данных персональных данных для защиты персональных данных физических лиц и какова ответственность за их несоблюдение.

Какие персональные данные и от чего должен защищать оператор персональных данных персональных данных?

До начала рассмотрения темы коснемся вопроса терминологии. В соответствии с пунктом 1 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту – «Закон о персональных данных», «ФЗ № 152-ФЗ») под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом, персональными данными являются любые сведения о человеке, которые прямо или косвенно позволяют его идентифицировать, начиная от ФИО, паспортных данных, номера мобильного телефона и адреса электронной почты до фото- и видеоизображений, дактилоскопических данных.

В силу части 1 статьи 19 ФЗ № 152-ФЗ при обработке оператор персональных данных персональных данных должен защищать персональные данные от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий. Для этого он обязан разрабатывать и принимать правовые, организационные и технические меры защиты ПД. К правовым мерам относят принятие соответствующих локальных нормативных актов, к организационным – назначение ответственных лиц, обучение работников, задействованных в обработке данных, к техническим – меры, направленные предотвращение угроз безопасности.

Перечень возможных мер приводится в статьях 18.1 и 19 Закона о персональных данных. Кроме того, они получили дополнительную регламентацию в нормативных актах органов-регуляторов: ФСТЭК РФ и ФСБ РФ. Полный перечень мер защиты персональных данных ФЗ № 152-ФЗ не приводит. Их оператор персональных данных разрабатывает самостоятельно с учетом требований подзаконных нормативных актов и особенностей деятельности оператора персональных данных персональных данных.

Отметим, что по запросу Роскомнадзора оператор персональных данных персональных данных обязан представить документы или иным образом подтвердить принятие мер защиты (часть 4 статьи 18.1 ФЗ № 152-ФЗ).

Правовые меры для обеспечения безопасности и защиты персональных данных

Для защиты персональных данных оператор персональных данных персональных данных обязан разработать комплект локальных актов. Как правило, он включает в себя следующие документы:

  • Положение о защите персональных данных;
  • Политика в отношении обработки персональных данных;
  • Приказ об утверждении перечня лиц, имеющих доступ к персональным данным;
  • Обязательство работника о неразглашении персональных данных;
  • Комплект документов, регламентирующих технические меры защиты информации (приказ об утверждении перечня информационных систем персональных данных, инструкция ответственного за организацию обработки персональных данных, инструкция по организации антивирусной защиты и другие).

Оператор персональных данных персональных данных должен ознакомить работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных и локальными нормативными актами, проводить обучение указанных работников (пункт 6 части 1 статьи 18.1 ФЗ № 152-ФЗ).

Организационные меры для обеспечения безопасности и защиты ПД

Организационные меры для обеспечения безопасности и защиты ПД защиты заключаются, в первую очередь, в назначении ответственных лиц. Для операторов персональных данных, обрабатывающих ПД без использования средств автоматизации, достаточно назначения лица, ответственного за организацию обработки данных.

Если персональные данные обрабатываются также в информационных системах, назначают еще лицо, ответственное за обеспечение безопасности персональных данных. Как правило, это специалист в области информационной безопасности, компьютерной сфере или иной обученный технический специалист. Закон о персональных данных не содержит требования к должности и образованию лица, ответственного за безопасность. Вместе с тем, если требуется организовать защиту информации, в том числе содержащей и персональные данные, на объектах критической инфраструктуры (информационных системах органов государственной власти, организациях здравоохранения, транспорта, связи, энергетики, банковской сферы, химической промышленности и т.п.)[1], то в соответствии с приказом ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры РФ и обеспечению их функционирования» к работникам структурного подразделения по безопасности, предъявляются следующие требования:

  • наличие высшего профессионального образования в области информационной безопасности или иного высшего профессионального образования;
  • документа, подтверждающего прохождение обучения по программе повышения квалификации по направлению «Информационная безопасность» со сроком обучения не менее 72 часов, для руководителя подразделения – со сроком обучения не менее 360 часов.

В иных компаниях с целью обеспечения профессионализма при выполнении работ по защите персональных данных, мы рекомендуем при назначении лица, ответственного за организацию защиты, также ориентироваться на указанные требования.

Технические меры для обеспечения безопасности и защиты ПД

Под техническими мерами защиты понимают как физические меры защиты (оборудование помещений запирающимися дверями и шкафами, решетками и т.п.), так и программные и аппаратные (применение антивирусной защиты, использование сертифицированных средств защиты и т.п.)

Ниже подробно рассмотрим организационные и технические меры защиты персональных данных, обрабатываемых с применением и без применения средств автоматизации.

Особенности защиты ПД при обработке без использования средств автоматизации

Неавтоматизированной обработкой являются действия с персональными данными, при условии, что их использование, уточнение, распространение и уничтожение осуществляются при непосредственном участии человека.

Поясним, что понимает законодательство под автоматизированной обработкой данных и обработкой без использования средств автоматизации. Так, в соответствии со статьей 3 Закона о персональных данных под автоматизированной обработкой понимается обработка данных с помощью средств вычислительной техники. В свою очередь, согласно пунктам 1 и 2 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 № 687 (далее по тексту – «Постановление № 687») неавтоматизированной обработкой являются действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

Отметим, что на данный момент официальные разъяснения относительно данного вопроса отсутствуют. Однако обработка персональных данных в MS Word и Exсel может расцениваться Роскомнадзором как обработка с использованием средств автоматизации. Кроме того, тот факт, что оператор персональных данных ведет обработку персональных данных через CRM систему (программу для автоматизации и контроля взаимодействия компании с клиентами), а также через систему бухгалтерского учета 1С, также может свидетельствовать об обработке данных с использованием средств автоматизации.

Требования к организации защиты персональных данных на бумажных носителях в Законе о персональных данных подробно не регламентированы. Меры по обеспечению безопасности персональных данных при обработке без использования средств автоматизации сформулированы в Постановлении № 687 и включают следующие:

  • определение места хранения материальных носителей персональных данных и перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
  • организацию раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
  • обеспечение сохранности ПД и исключен несанкционированный к ним доступ.

Конкретный перечень мер по обеспечению сохранности, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором персональных данных персональных данных. Например, оборудовать комнаты хранения металлическими дверями, сигнализацией, решетками на окнах, обеспечить хранение материальных носителей в запирающихся ящиках или сейфах.

Особенности защиты при обработке персональных данных в информационных системах

Когда обработка происходит с использованием информационных систем, появляются новые потенциальные угрозы, которые нужно свести к минимуму, а лучше и вовсе исключить. Поэтому требования к защите персональных данных регламентированы более подробно.

Статьей 19 Закона о персональных данных регламентированы требования к защите персональных данных в информационных системах персональных данных (далее по тексту – «ИСПДн») Так, в соответствии с частью 2 статьи 19 ФЗ № 152-ФЗ обеспечение безопасности персональных данных достигается, в частности путем:

  • определения угроз безопасности персональных данных при их обработке персональных данных в ИСПДн;
  • применения организационных и технических мер защиты;
  • использования прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценки эффективности принимаемых мер до ввода в эксплуатацию ИСПДн;
  • учета машинных носителей персональных данных;
  • принятия мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
  • восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установления правил доступа к персональным данным, обрабатываемым в ИСПДн, а также регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;
  • контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.

Подробнее требования к защите персональных данных при их обработке в ИСПДн регламентированы в Постановлении Правительства РФ от 01.11.2012 № 1119[2] (далее по тексту – «Постановление № 119»), а также в приказах органов-регуляторов:

  • приказе ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее по тексту – «Приказ ФСТЭК № 21»);
  • приказе ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации» (далее по тексту – «Приказ ФСБ № 378»).

Приказ ФСБ № 378 регламентирует меры защиты для операторов персональных данных персональных данных, использующих в информационных системах средства криптозащиты, и ввиду ограниченности формата не будут рассматриваться в настоящей статье.

В соответствии с Приказом ФСТЭК № 21 для обеспечения безопасности персональных данных в ИСПДн требуется:

I. Определить угрозы безопасности персональных данных при их обработке в ИСПДн.

Под угрозами безопасности понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия (пункт 6 Постановления № 119).

В Постановлении № 119 установлены 3 типа угроз безопасности:

  • угрозы 1 типа угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении (например, в операционной системе, сервисных программах, антивирусах;
  • угрозы 2 типа – угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении (например, в бухгалтерских и кадровых программах);
  • угрозы 3 типа – угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении.

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором персональных данных персональных данных с учетом оценки возможного вреда.

II. Подобрать уровень защищенности персональных данных.

В Постановлении № 119 определено четыре уровня защищенности. Уровень защищенности подбирается в соответствии с пунктами 8 – 16 Постановления № 119 и зависит от следующих факторов:

  • определенного типа угрозы;
  • категории обрабатываемых персональных данных.

Персональные данные подразделяются на 4 категории:

1. Специальные категории ПД, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта.

2. Биометрические ПД, то есть данные, характеризующие биологические или физиологические особенности субъекта и используемые для установления личности, например, фотография или отпечатки пальцев.

3. Общедоступные ПД, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом.

4. Иные категории ПД, не представленные в трех предыдущих группах:

  • субъектов персональных данных, чьи данные обрабатываются;
  • собственных работников;
  • иные субъектов, не связанные трудовыми отношениями с компанией-оператором персональных данных персональных данных.
  • количества субъектов, чьи ПД обрабатываются (менее 100 000 субъектов и более 100 000 субъектов).

Чтобы определить уровень защищенности ИСПДн, можно воспользоваться специальным онлайн-калькулятором, который размещен на сайте ФСТЭК. ИСПДн с установленным уровнем защищенности 1 требует более серьезных мер защиты, чем система с уровнем 4.

III. Определить требования к защите в зависимости от выбранного уровня защищенности персональных данных.

Для каждого уровня защищенности Постановлением № 119 предусмотрены свои требования к защите. Так, для обеспечения 4-го уровня защищенности необходимо выполнять следующие требования:

  • утвердить перечень лиц, имеющих право доступа к персональным данным в ИСПДн;
  • обеспечить безопасность помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения лиц, не имеющих права доступа в эти помещения;
  • обеспечить сохранность носителей персональных данных;
  • использовать средства защиты информации (далее по тексту – «СЗИ»), как-то межсетевые экраны, средства обнаружения вторжений и т.п., прошедшие процедуру оценки соответствия требованиям законодательства в области обеспечения безопасности информации.

Для 3-го уровня защищенности дополнительно необходимо назначить должностное лицо, ответственного за обеспечение безопасности персональных данных в ИСПдн.

Для обеспечения 2-го уровня защищенности, помимо вышеуказанных требований, также необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для работников, которым эти сведения необходимы для выполнения трудовых обязанностей.

Для обеспечения 1-го уровня защищенности персональных данных также требуется выполнение следующих требований:

  • создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в ИСПдн либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности;
  • обеспечение автоматической регистрация в электронном журнале безопасности изменений полномочий сотрудника по доступу к персональным данным.

Меры защиты персональных данных в ИСПДн

Меры защиты персональных данных в ИСПДн регламентированы в Приказе ФСТЭК № 21. В состав таких мер входят:

  • идентификация и аутентификация субъектов доступа (пользователей) и объектов доступа (устройств);
  • управление доступом субъектов доступа к объектам доступа (разграничение прав пользователей к устройствам и контроль за его соблюдением);
  • ограничение программной среды (установка и запуск только разрешенного ПО);
  • защита машинных носителей персональных данных (исключение возможности несанкционированного доступа к ним и несанкционированного использования съемных машинных носителей);
  • регистрация событий безопасности (сбор, запись, хранение и защиту информации о событиях безопасности);
  • антивирусная защита;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности персональных данных (проведения систематических мероприятий по анализу защищенности);
  • обеспечение целостности информационной системы и персональных данных (обнаружение фактов несанкционированного нарушения целостности ИСПДн и содержащихся в ней персональных данных);
  • обеспечение доступности персональных данных (авторизованный доступ пользователей, имеющих права по доступу, к персональным данным);
  • защита среды виртуализации (исключение несанкционированного доступа к персональным данным, обрабатываемым в виртуальной инфраструктуре);
  • защита технических средств (исключение несанкционированного доступа к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование ИСПДн и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных);
  • защита информационной системы, ее средств, систем связи и передачи данных;
  • выявление инцидентов, которые могут привести к сбоям или нарушению функционирования ИСПДн, возникновению угроз безопасности персональных данных, и реагирование на них;
  • управление конфигурацией ИСПДн и системы защиты персональных данных.

Конкретный перечень мер в зависимости от уровня защищенности приведен в Приложении к Приказу ФСЭК № 21. Выбор мер осуществляется следующим образом:

  • определяется базовый набор мер в соответствии с Приложением к Приказу ФСЭК № 21;
  • производится адаптация базового набора с учетом характеристик ИСПДн и особенностей ее функционирования. Как правило, она предполагает исключение из базового набора мер, не используемыми или не свойственными ИСПДн;
  • с учетом экономической целесообразности разрабатываются иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности. Как правило, это необязательные для данного уровня защиты меры из Приказа ФСЭК № 21, замена отдельных технических мер защиты на организационные, принятие иных технических решений. Применение компенсирующих мер должно быть обосновано.

Также Приказ ФСЭК № 21 устанавливает требования к применяемым СЗИ. СЗИ должны быть сертифицированы по требованиям безопасности информации.

В информационных системах 1 уровня защищенности должны применяться СЗИ не ниже 4 класса и 4 уровня доверия, а также средства вычислительной техники не ниже 5 класса;

  • в информационных системах 2 уровня защищенности – СЗИ не ниже 5 класса и 5 уровня доверия, а также средства вычислительной техники не ниже 5 класса;
  • в информационных системах 3 уровня защищенности – СЗИ 6 класса и 6 уровня доверия, а также средства вычислительной техники не ниже 5 класса;
  • в информационных системах 4 уровня защищенности персональных данных применяются средства защиты информации 6 класса и 6 уровня доверия, а также средства вычислительной техники не ниже 6 класса.

Классы СЗИ и уровни доверия устанавливаются в соответствии с нормативными актами ФСТЭК производителями при сертификации СЗИ.

Отметим, что рассмотренные выше требования носят технический характер, предназначены в первую очередь для специалистов в области информационной безопасности. Организовываться и проводиться данные меры могут оператором персональных данных персональных данных самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Контроль за выполнением требований должен проводиться не реже 1 раза в 3 года.

Требования к материальным носителям биометрических персональных данных

Постановление Правительства РФ от 06.07.2008 № 512 (далее по тексту – «Постановление № 512»)[3] установило требования к материальным носителям биометрических персональных данных, и технологиям их хранения вне ИСПДн.

Согласно пункту 2 Постановления № 512 под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность.

Используемый для записи материальный носитель должен обеспечивать:

  • защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из ИСПДн;
  • возможность доступа к записанным на материальный носитель биометрическим персональным данным оператору персональных данных персональных данных и уполномоченным им лицам;
  • возможность идентификации ИСПД, в которую была осуществлена запись биометрических персональных данных, и оператора персональных данных персональных данных, осуществившего запись;
  • невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.

По общему правилу тип применяемого материального носителя (карта памяти, USB-накопитель, внешний жесткий диск и др.) Оператор персональных данных вправе определять самостоятельно. При этом на него возлагаются обязанности осуществлять учет количества экземпляров материальных носителей и присвоение носителю уникального идентификационного номера, позволяющего точно определить оператор персональных данных.

При хранении биометрических персональных данных вне ИСПДн оператор персональных данных должен обеспечить регистрацию фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из системы.

Ответственность за нарушение требований к защите персональных данных

За нарушение требований к защите персональных данных могут привлечь к административной ответственности:

1. По части 6 статьи 13.11 КоАП РФ «Невыполнение при обработке персональных данных без использования средств автоматизации обязанности по сохранности персональных данных, если это повлекло неправомерные действия в отношении персональных данных (доступ, уничтожение, копирование, изменение и иные)». Максимальное наказание для должностных лиц – штраф от 8 000 до 20 000 рублей, для индивидуальных предпринимателей – от 20 000 до 40 000 рублей, для юридических лиц – от 50 000 до 100 000 рублей.

Прокуратурой была проведена проверка соблюдения хозяйственным обществом законодательства о защите персональных данных. В результате проверки было установлено, что хозяйственное общество, являясь оператором персональных данных, заключило агентский договор с управляющей компанией на формирование квитанций на ЖКУ и их доставку до адресатов. Во исполнение условий договора управляющая компания осуществляла доставку квитанции в неконвертируемом виде, что не позволяют обеспечить конфиденциальность персональных данных, в частности персональные данные граждан были доступны для обозрения неограниченного числа лиц в процессе доставки и хранения в почтовых ящиках. Постановлением мирового судьи хозяйственное общество признано виновным в совершении административного правонарушения, предусмотренного частью 6 статьей 13.11 КоАП РФ, и подвергнуто административному наказанию в виде штрафа в размере 25 000 рублей.

2. По части 6 статьи 13.12. КоАП РФ «Нарушение правил защиты информации». Штраф на должностных лиц – от 1 000 до 2 000 рублей; на юридических лиц – от 10 000 до 15 000 рублей.

Как было установлено в одном из дел, Управление ФСБ в ходе проведения оперативно-розыскных мероприятий выявило, что в организации не определены уровни защищенности персональных данных в ИСПДн, не утверждены правила доступа в помещения, где хранятся персональные данные, и перечень лиц, имеющих право доступа. Постановлением УФСБ Организация была признана виновной в совершении административного правонарушения, предусмотренного частью 6 статьи 13.12 КоАП РФ, и подвергнута наказанию в виде административного штрафа в размере 15 000 рублей. Суд признал квалификацию нарушения правильной, но счел правонарушение малозначительным и заменил штраф на замечание[4].

В другом деле в ходе проведения оперативно-розыскных мероприятий было выявлено, что в Учреждении на электронно-вычислительных машинах функционирует вредоносное программное обеспечение, способное предоставлять доступ к хранящейся информации третьим лицам. На указанных ЭВМ обрабатываются персональные данные сотрудников учреждения, однако антивирусное средство на ЭВМ не установлено. Директор Учреждения была привлечена к административной ответственности по части 6 статьи 13.12 КоАП РФ с наложением штрафа в размере 1 000 рублей. Директор пыталась оспорить постановление в суде. Суд в отмене постановления отказал и указал, что наличие на двух ЭВМ лицензионного антивирусного программного обеспечения не свидетельствует о соблюдении требований, предусмотренных Постановлением № 119, поскольку в учреждении не менее 11 ЭВМ объединены между собой в единую локально-вычислительную сеть, имеющую подключение к Интернету[5].

Кроме того, за нарушение правил защиты персональных данных работника могут привлечь к дисциплинарной ответственности. В соответствии со статьей 192 ТК РФ дисциплинарная ответственность наступает в форме замечания, выговора или увольнения.

В наиболее серьезных случаях есть риск привлечения к уголовной ответственности, предусмотренной статьей 272 УК РФ «Неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации». Наказание может достигать до 7 лет лишения свободы. При этом неправомерным доступом к компьютерной информации является получение или использование такой информации без согласия обладателя информации лицом, не наделенным необходимыми для этого полномочиями, либо в нарушение установленного нормативными правовыми актами порядка независимо от формы такого доступа.

Проиллюстрируем на примере из судебной практики. Одно из дел было возбуждено в отношении начальника отдела информационной безопасности налоговой службы, которая в силу занимаемой должности являлась администратором информационной безопасности. Суд установил, что начальник отдела, используя свое служебное положение, в отсутствие законных оснований, без согласия работников налогового органа умышленно, осуществила неправомерный доступ к служебным компьютерам потерпевших и осуществила копирование файлов личной переписки сотрудников. Приговором суда она была осуждена по части 3 статьи 272 УК РФ к наказанию в виде 1 года 6 месяцев лишения свободы условно. Впоследствии суд кассационной инстанции отправил дело на новое рассмотрение, указав, что в приговоре не дан достаточный анализ служебных полномочий осужденной[6].

Подводя итоги, еще раз подчеркнем важность разработки и принятия оператором персональных данных мер защиты персональных данных с целью минимизации негативных последствий. При этом ввиду сложности, большого количества и технической направленности нормативных актов, регламентирующих требования к обеспечению безопасности персональных данных, рекомендуем привлекать к данной работе специалистов, имеющих соответствующие опыт и компетенции.

_____________________

 

[1] Перечень субъектов критической инфраструктуры приведен в статье 2 Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».

[2] Постановление Правительства России от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

[3] Постановление Правительства России от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

[4] Решение Первомайского районного суда города Краснодара от 23.04.2019 по делу № 12-185/19.

[5] Решение Биробиджанского районного суда Еврейской автономной области от 05.03.2021 по делу № 12-174/2020.

[6] Постановление Девятого кассационного суда общей юрисдикции от 16.02.2023 № 77-258/2023.

 

21 августа 2023 г.

Наша почта
info@brace-lf.com

Вы можете направить нам запрос на e-mail с подробным описанием вопроса.

Наш телефон
+ 7 (499) 755-56-50

Связаться с нами по телефону.

Клиенты и партнеры

65.png
68.png
69.png
73.png
75.png
fitera.jpg
imko.png
logo.png
Logo_RED_RGB_Rus.png
logo_SK_2.png