Защита персональных данных в России

Федеральный закон №152-ФЗ "О персональных данных" был принят 27 июля 2006 года.
Защита персональных данных – это комплекс мероприятий, позволяющий выполнить требования законодательства РФ, касающиеся обработки, хранению и передачи персональных данных граждан.
Согласно требованию закона о защите персональных данных, оператор персональных данных обязан выполнить ряд организационных и технических мер касающихся процессов обработки персональных данных.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Правоотношения в сфере персональных данных регулируются федеральным законодательством РФ (Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»), Трудовым кодексом РФ (глава 14), а так же Гражданским кодексом РФ.

Закон «О персональных данных» обязывает оператора принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Появление закона поставило сложную и требующую немедленного решения задачу перед большинством российских компаний. До 1 января 2010 года компании (операторы), обрабатывающие персональные данные в информационных системах, обязаны обеспечить:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль за обеспечением уровня защищенности персональных данных.

Основные положения Закона «О персональных данных»:

· Информационные системы, обрабатывающие персональные данные и созданные до вступления в силу Закона «О персональных данных» должны быть приведены в соответствие с его требованиями не позднее 1 января 2010 года;

· Оператор обязан направить уведомление об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных. Таким органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (более известная как Роскомнадзор);

· Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, обжаловав действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

· Нарушение требований Закона влечет гражданскую, уголовную, административную, дисциплинарную ответственность физических и должностных лиц.

66.Семейство ГОСТ 270ХХ «Система менеджмента ИБ организации»

ГОСТ Р ИСО/МЭК 27000-2012 «ИТ. МиСОБ. СМИБ. Общий обзор и терминология» содержит: обзор семейства стандартов СМИБ; введение в СМИБ; краткое описание процесса «План (Plan) - Осуществление (Do) - Проверка (Check) - Действие (Act)» (PDCA); термины и определения для использования в семействе стандартов СМИБ. Этот международный стандарт применим ко всем типам организаций (например, коммерческие предприятия, правительственные учреждения, некоммерческие организации).

ГОСТ Р ИСО/МЭК 27001-2006 «ИТ. МиСОБ. СМИБ. Требования» - предназначен для применения организациями любой формы собственности (например, коммерческими, государственными и некоммерческими организациями). Устанавливает требования по разработке, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению документированной СМИБ среди общих бизнес-рисков организации; устанавливает требования по внедрению мер управления информационной безопасностью и ее контроля, которые могут быть использованы организациями или их подразделениями в соответствии с установленными целями и задачами обеспечения информационной безопасности.

ГОСТ Р ИСО/МЭК 27002-2012 «ИТ. МиСОБ. Свод норм и правил менеджмента информационной безопасности» (взамен ГОСТ Р ИСО/МЭК 17799-2005) - предлагает рекомендации и основные принципы введения, реализации, поддержки и улучшения МИБ в организации. Цели, изложенные в данном национальном стандарте, обеспечивают полное руководство по общепринятым целям МИБ.

ГОСТ Р ИСО/МЭК 27003-2012 «ИТ. МиСОБ. СМИБ. Руководство по реализации СМИБ» - рассматриваются важнейшие аспекты, необходимые для успешной разработки и внедрения СМИБ в соответствии со стандартом ISO/IEC 27001:2005. В нем описывается процесс определения и разработки СМИБ от запуска до состояния планов внедрения. В нем описывается процесс получения одобрения руководством внедрения СМИБ, определяется проект внедрения СМИБ (упоминается в данном международном стандарте как проект СМИБ) и представлены рекомендации по планированию проекта СМИБ, в результате которого получается окончательный план внедрения СМИБ.

ГОСТ Р ИСО/МЭК 27004-2011 «ИТ. МиСОБ. МИБ. Измерения» -устанавливает рекомендации по разработке и использованию измерений и мер измерений для оценки эффективности реализованной СМИБ, мер и средств контроля и управления и их групп в соответствии с ИСО/МЭК 27001.

ГОСТ Р ИСО/МЭК 27005-2010 «ИТ. МиСОБ. Менеджмент риска информационной безопасности» (ГОСТ Р ИСО/МЭК ТО 13335-3-2007 и 13335-4-2007) - представляет руководство по менеджменту риска ИБ, предназначен для содействия адекватного обеспечения ИБ на основе подхода, связанного с менеджментом риска.

ГОСТ Р ИСО/МЭК 27006-2008 «ИТ. МиСОБ. Требования к органам, осуществляющим аудит и сертификацию СМИБ» - на основе стандартов ИСО/МЭК 17021 и ИСО/МЭК 27001 устанавливает требования к органам, осуществляющим аудит и сертификацию СМИБ, и способствует проведению аккредитации органов сертификации. Любой орган, осуществляющий сертификацию СМИБ, должен продемонстрировать в плане компетентности и надежности свое соответствие требованиям данного стандарта, а содержащиеся в стандарте указания дополнительно разъясняют эти требования к органу, осуществляющему сертификацию СМИБ.

ГОСТ Р ИСО/МЭК 27007-2014 «ИТ. МиСОБ. Руководства по аудиту СМИБ» - предоставляет руководство по менеджменту программы аудита СМИБ, по проведению аудитов и по определению компетентности аудиторов СМИБ, применим для тех организаций, которые нуждаются в понимании или проведении внутренних или внешних аудитов СМИБ или осуществлении менеджмента программы аудита СМИБ.

ГОСТ Р ИСО/МЭК 27011-2012 «ИТ. МиСОБ. Руководства по менеджменту ИБ для телекоммуникационных организаций (ТО) на основе ИСО/МЭК 27002» - определяет рекомендации, поддерж. реализацию менеджмента ИБ в ТО. Применение данного национального стандарта позволит ТО выполнять базовые требования менеджмента ИБ в отношении конфиденциальности, целостности, доступности и любых других аспектов безопасности.

ГОСТ Р ИСО/МЭК 27033-1-2011 «ИТ. МиСОБ. Безопасность сетей. Часть 1. Обзор и концепции» (взамен ГОСТ Р ИСО/МЭК 18028-1-2008)

содержит обзор сетевой безопасности и связанных с ней определений. Стандарт определяет и описывает концепции, связанные с сетевой безопасностью, и предоставляет рекомендации по менеджменту ИБ.

Настоящий стандарт предназначен для лиц, владеющих, управляющих или использующих сети, лиц, имеющих конкретные обязанности по обеспечению информационной и (или) сетевой безопасности.