Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

• проверено сегодня
• закон от 30.06.2018
• вступила в силу 26.01.2007

Ст. 19 Закон о персональных данных в последней действующей редакции от 27 июля 2011 года.

Новые не вступившие в силу редакции статьи отсутствуют.

Сравнить с редакцией статьи от 29.12.2009 26.01.2007

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности:

• 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
• 4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• 5) учётом машинных носителей персональных данных;
• 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
• 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• 8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Правительство Российской Федерации с учётом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

• 1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
• 2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
• 3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учётом содержания персональных данных, характера и способов их обработки.

Наряду с угрозами безопасности персональных данных, определённых в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определённых видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учётом содержания персональных данных, характера и способов их обработки.

Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьёй, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учётом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьёй, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определённых видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии её хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определённых угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Вчера вечером, сидя за кружечкой чая перед уныло светящимся монитором и ваяя очередной шедевр внутреннего нормотворчества, схлестнулся с Алексеем Лукацким (которому, видно, тоже было недосуг) в занимательной дискуссии на тему полномочий горячо уважаемого и часто упоминаемого мной в последнее время ведомства под названием Роскомнадзор. Не всех, конечно, полномочий - а только тех, которые касаются проверки оным . Алексей (и не он один) считает, что 152-ФЗ не дает Роскомнадзору таких полномочий, вне зависимости от того, с привлечением экспертов и экспертных организаций проводится проверка или без таковых. Я же, в душе согласный с его точкой зрения, вынужден был возражать, поскольку не по наслышке знаком с точкой зрения самого Роскомнадзора, которую здесь излагаю.

Логика Роскомнадзора начинается с п. 9 ч. 3 ст. 23 152-ФЗ, дающего ему право "привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона". Одним из таких нарушений, как мы знаем, является указание оператором недостоверных сведений в уведомлении, подаваемом в Роскомнадзор, в котором, согласно п. 7 ч. 3 ст. 22 152-ФЗ, указывается "описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств". Согласно п. 2 ст. 3 152-ФЗ, Роскомнадзор имеет право "осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных" самостоятельно "или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий". Более того - ч. 2 ст. 7 294-ФЗ дает Роскомнадзору право для проверки достоверности сведений, указанных в уведомлении, в том числе и в части ст. 18.1 и 19, привлекать эксперта или экспертную организацию.

В соответствии с ч. 4 ст. 18.1 152-ФЗ, "оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных" . Таким образом, оператор, в ходе проверки, не только показывает документы, но и демонстрирует меры "вживую", чем удовлетворяет (или не удовлетворяет) "уполномоченный орган" и (или) приглашенного эксперта.

Как мы знаем, в части 1 ст. 18.1 сказано, что "оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами", и "оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами ".

Именно самостоятельно выбранные меры (в том числе применение статьи 19 по собственному желанию) оператор и указывал бы в уведомлении, если бы не "проблема статьи 18.1", отмеченная жирным шрифтом, и ниже, в статье 19, предусмотреннаая обязанность оператора "принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных". Ну, а раз обязан - тогда получай и часть 2 с "уровнями защищенности", "оценкой соответствия" и "оценкой эффективности".

Многие думают, что ч. 8 ст. 19 ограничивает область госконтроля и надзора за соблюдением требований, указанных в ст. 19, исключительно государственными ИСПДн. Однако это совсем не так: на самом деле, часть 8 говорит о том, что контроль соблюдения требований в государственных ИСПДн осуществляет ФСТЭК и ФСБ. Часть 9 определяет, случаи, в которых эти два регулятора могут проконтролировать негосударственные ИСПДн. При этом, нигде не написано, что в негосударственных ИСПДн такого контроля быть не должно в принципе, а стало быть - его, из-за "проблемы статьи 18.1", осуществляет Роскомнадзор, в том числе с привлечением экспертов!

Как и во многих других случаях, все решает суд и грамотность оператора. Если оператор не будет писать лишнего в уведомлении, и ему удастся доказать, что указанные в соответствие со статьей 18.1 меры в уведомлении имеют добровольный характер, и Роскомнадзор превысил свои полномочия, требуя от оператора того, чего не указано в уведомлении - победит оператор. Если Роскомнадзор вспомнит, что в соответствие с п. 42.1 зарегистрированного в Минюсте административного регламента Роскомнадзора, у него есть право привлекать эксперта для оценки "эффективности принимаемых Оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных" и докажет, что "эффективность" = "достаточность" - победит Роскомнадзор.

Но лучше вспомнить знаменитую поговорку кота Леопольда: "ребята, давайте жить дружно".

20 Июня 2017, 13:50 , вопрос №1672908 Илья , г. Протвино

Роскомнадзор

Свернуть

Ответы юристов (2 )

Выбрать меры из указанных в ст.18.1 ФЗ от 27.07.2006 N 152-ФЗ (ред. от 01.07.2017) «О персональных данных», которые используете.

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

п.2 указывает за счет чего достигается обеспечение безопасности персональных данных.

Аналогичное письмо направлено в Совет Федерации ФС РФ на имя (исх. № А-01/5-541 от 01.01.2001)

Исх. № А-01/5-540

от 01.01.2001

Председателю Правительства

Российской Федерации

О новой редакции статьи 19 Федерального закона «О персональных данных»

Принятие Федерального закона от 01.01.01 года «О персональных данных» (далее – Закон) стало важным шагом по защите прав граждан Российской Федерации, а также повышению качества защиты информационных систем персональных данных.

Вместе с тем, Закон содержит целый ряд норм, выполнение которых либо крайне затруднительно, либо допускает различное толкование, либо связано с неадекватными затратами операторов персональных данных.

Особую озабоченность вызывали подзаконные нормативные акты и методические документы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, разработанные во исполнение Постановления Правительства Российской Федерации от 01.01.01 года № 000 «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Помимо юридической неурегулированности статуса принятых документов имелись также определенные вопросы к техническим требованиям, изложенным в этих документах. По мнению ряда специалистов в области информационной безопасности , представленная в документах методология защиты информационных систем персональных данных являлась организационно сложной и финансово обременительной для большинства операторов персональных данных и создавала серьезные затруднения в процессе реализации норм Закона. В этой связи возникали сомнения в том, что основная масса организаций сможет привести свои системы персональных данных в соответствие с требованиями упомянутых документов.

В этой связи Ассоциация российских банков обращалась в уполномоченные государственные органы с вопросом о неадекватности мер по обеспечению безопасности обрабатываемых персональных данных.

В результате, по Вашему поручению, закрепленному Протоколом совещания от 01.01.01 года № ДП-П39-1пр, был разработан и внесен в Государственную Думу Федерального Собрания Российской Федерации проект федерального закона № «О внесении изменений в Федеральный закон «О персональных данных» (далее – Законопроект). Положения Законопроекта в значительной части основывались на Рекомендациях Парламентских слушаний на тему: «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных», состоявшихся в Государственной Думе ФС РФ 20 октября 2009 года.

Дальнейшая работа над Законопроектом велась при активном участии уполномоченных государственных органов, Банка России, банковского сообщества и всех заинтересованных лиц.

В результате многосторонних переговоров было достигнуто общее понимание о следующих принципах регулирования мер по обеспечению безопасности персональных данных при их обработке (статья 19 Закона):

– Правительство Российской Федерации устанавливает требования по обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных с учетом содержания обрабатываемых персональных данных, характера и способов их обработки;

– Правительство Российской Федерации устанавливает требования по обеспечению безопасности биометрических персональных данных, содержащихся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию.

– Правительство Российской Федерации вправе установить требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности , и не являющихся государственными и муниципальными информационными системами персональных данных, в зависимости от характеристик угроз безопасности этих данных (см. приложение 1).

Таким образом, модель регулирования мер по обеспечению безопасности персональных данных при их обработке должна была быть выстроена на принципах саморегулирования для различных групп организаций, осуществляющих деятельность определенного вида. Полагаем, что разработка и установление требований по обеспечению безопасности персональных данных, а также контроль за соблюдением указанных требований вполне возможно реализовать на практике, поскольку данная инициатива была поддержана Центральным Банком Российской Федерации и организациями, специализирующимися в области информационной безопасности.

Полагаем, такой подход более эффективен и повлечет меньшие затраты, чем установление общего регулирования для всех участников обработки персональных данных.

Однако, на последнем этапе обсуждения Законопроекта в Государственной Думе Федерального Собрания Российской Федерации Комитетом Государственной Думы Федерального Собрания Российской Федерации по конституционному законодательству и государственному строительству была рекомендована к принятию принципиально иная редакция статьи 19 Закона, которая предусматривает сохранение ныне действующей, крайне жесткой, неэффективной и чрезвычайно затратной для всех операторов персональных данных модели регулирования мер по обеспечению безопасности персональных данных при их обработке (см. приложение 2).

Тем самым, вопреки Вашему поручению, данному по результатам встречи 13 ноября 2009 года, в Законе сохранены положения, применение которых вызывает самые значительные возражения со стороны субъектов рынка и дальнейшая реализация которых повлечет несоразмерные поставленным целям затраты и издержки для всех субъектов Закона как государственных органов, так и юридических лиц.

Данная модель регулирования, в противовес изложенной выше, содержит явные недостатки, которые на практике могут повлечь серьезные проблемы для участников обработки персональных данных. Приведем некоторые из них.

Во-первых, Законопроектом не определена отраслевая модель регулирования. Предлагаемые Законопроектом подходы к установлению жестких требований Федеральной службы безопасности Российской Федерации (далее – ФСБ России) и Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) по защите персональных данных не учитывает интересы кредитно-финансовых организаций. Требования ФСБ России и ФСТЭК России предполагают существенные затраты и издержки, а также технически слабореализуемыми в информационных системах современной кредитной организации.

Во-вторых, Законопроект определяет неочевидный порядок контроля и надзора для коммерческих, в том числе для кредитно-финансовых организаций. Согласно Законопроекту, правом контроля и надзора за выполнением требований по обеспечению безопасности персональных данных в государственных информационных системах обладают исключительно ФСБ России и ФСТЭК России. При этом, по решению Правительства Российской Федерации ФСБ России и ФСТЭК России могут быть наделены полномочиями по осуществлению контроля и надзора в любой отрасли.

В этом случае возникает вопрос, на соответствие каким нормам и требованиям будет осуществляться контроль и надзор регуляторами.

В-третьих, право на принятие нормативных правовых актов в области определения угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, будет иметь целый ряд органов, включая федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативному правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы. Полагаем, что наделение нормотворческими функциями такого обширного и, по сути, неограниченного круга лиц не будет способствовать реализации принципа правовой определенности.

Принимая во внимание изложенное, просим Вас рассмотреть вопрос о внесении официальным представителем Правительства в Совете Федерации Федерального Собрания Российской Федерации предложения об отклонении Советом Федерации проекта федерального закона № «О внесении изменений в Федеральный закон «О персональных данных» в целях его доработки согласительной комиссией палат Федерального Собрания Российской Федерации с учетом изложенных обстоятельств.

Приложение на 9 листах.

С уважением,

Тосунян

Приложение 1

Редакция статьи 19 Федерального закона от 01.01.01 года «О персональных данных», согласованная участниками рынка

1. Оператор обязан принимать или обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий с ними (далее – меры по обеспечению безопасности персональных данных). Указанные меры принимаются с учетом возможного вреда субъекту персональных данных, объема и характера обрабатываемых персональных данных, условий обработки персональных данных, актуальности угроз безопасности персональных данных, а также возможностей технической реализации этих мер.

2. Меры по обеспечению безопасности персональных данных включают в себя, в частности:

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применение методов (способов) защиты информации и прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

3) оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

4) учет машинных носителей персональных данных;

5) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

6) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

7) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

8) контроль принимаемых мер по обеспечению безопасности персональных данных.

3. Оператор, на которого в соответствии с законодательством Российской Федерации возложена обязанность обеспечивать сохранение охраняемой законом тайны, принимает меры по обеспечению безопасности персональных данных, составляющих соответствующую охраняемую законом тайну, при их обработке в информационных системах персональных данных в соответствии с требованиями, установленными для защиты сведений, составляющих соответствующую охраняемую законом тайну. Указанные меры должны обеспечивать соблюдение прав субъектов персональных данных, предусмотренных настоящим Федеральным законом.

4. Правительство Российской Федерации устанавливает с учетом частей 1 и 2 настоящей статьи:

1) требования по обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных с учетом содержания обрабатываемых персональных данных, характера и способов их обработки;

2) требования по обеспечению безопасности биометрических персональных данных, содержащихся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию.

5. Правительство Российской Федерации вправе установить требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности, и не являющихся государственными и муниципальными информационными системами персональных данных, в зависимости от характеристик угроз безопасности этих данных с учетом частей 1 и 2 настоящей статьи.

6. Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных в государственных и муниципальных информационных системах персональных данных, установленных Правительством Российской Федерации в соответствии с частью 4 настоящей статьи, осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

7. Федеральные органы исполнительной власти, иные государственные органы, органы местного самоуправления , операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе издавать стандарты обеспечения безопасности персональных данных. Стандарты обеспечения безопасности персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требований, устанавливаемых Правительством Российской Федерации в соответствии с частью 5 настоящей статьи. Стандарты обеспечения безопасности персональных данных в государственных и муниципальных информационных системах персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требованиями, указанными в пункте 1 части 4 настоящей статьи.

8. Оператор обязан принять решение о присоединении к стандарту обеспечения безопасности персональных данных, за исключением случаев, предусмотренных частью 22 статьи 25 настоящего Федерального закона. В случае, если необходимый стандарт обеспечения обработки персональных данных отсутствует, оператор вправе издать стандарт обеспечения безопасности персональных данных. Решение о присоединении к стандарту обеспечения безопасности персональных данных или об издании стандарта обеспечения безопасности персональных данных оператор принимает самостоятельно, если иное не установлено федеральным законом или международным договором Российской Федерации.

9. Федеральные органы исполнительной власти, иные государственные органы, операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов уведомляют федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, об изданных ими стандартах обеспечения безопасности персональных данных, а также о свом решении о присоединении к стандартам обеспечения безопасности персональных данных.»

Приложение 2

Редакция статьи 19 Федерального закона от 01.01.01 года «О персональных данных», изложенная в проекте федерального закона № «О внесении изменений в Федеральный закон «О персональных данных», принятого Государственной Думой в трех чтениях

«Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласования проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.».

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.