En
Заказать проект
Медиацентр

Законодательная база по защите информации и данных

28.04.2021
Законодательная база по защите информации и данных

“Data is the new oil” — ценность информации и данных в мире растет с каждым днем. Все больше различных компаний, предприятий и субъектов власти прибегают к автоматизации своей работы, созданию информационных систем и программного обеспечения, которое позволило бы ускорить процессы и систематизировать поступающие данные. Со стороны закона существуют требования относительно того, каким образом та или иная информация в этих системах должна быть защищена. Кроме того, для некоторых субъектов существуют специальные нормы по обеспечению информационной безопасности. Рассмотрим основные общие требования.

✔️ Требования по сбору и обработке персональных данных
Персональные данные — это любая информация, которая может прямо или косвенно идентифицировать человека.Требования к обработке персональных данных прежде всего относятся ко всем ресурсам, так или иначе взаимодействующим с пользователями сети Интернет. Владельцы таких сайтов, в соответствии с пунктом 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», являются операторами персональных данных, даже если на сайте для сбора данных есть только форма обратной связи, заказа звонка или подписки на рассылку с указанием e-mail пользователя. Причем эти лица будут являться операторами, даже если они не включены в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.В соответствии с требованиями Федерального закона «О персональных данных» такие владельцы ресурсов в сети Интернет обязаны:
  • проинформировать пользователя о том, что на данном ресурсе происходит сбор и обработка персональных данных с указанием, какие именно данные собираются, как они будут храниться и использоваться. Такая информация должна содержаться в документе «Политика обработки персональных данных» или «Политика конфиденциальности», который должен быть размещен на странице ресурса;
  • ознакомить пользователя с условиями использования данных ресурсом — для этого разрабатывается и размещается на сайте «Пользовательское соглашение» с обязательным пунктом про дачу пользователем согласия на сбор и обработку персональных данных;
  • поместить на сайт уведомление о применении cookies для сбора обезличенных данных (например, для настройки рекламы или аналитики);
  • до начала обработки таких данных направить соответствующее уведомление в Роскомнадзор в соответствии со ст. 22 закона «О персональных данных». Однако в некоторых случаях такое уведомление необязательно. Например, если собираются только ФИО или оператор использует персональные данные исключительно для заключения и исполнения договоров с клиентами и никаким образом не распространяет их и не передает третьим лицам.
Игнорирование указанных требований по обработке персональных данных с согласия субъекта влечет наложение административного штрафа на юридическое лицо от 30 тыс. до 150 тыс. руб. При многократном игнорировании законных требований ресурс может быть заблокирован Роскомнадзором.
✔️ Требования о конфиденциальности информации
Кроме персональных данных законом установлен и другой ряд сведений, доступ к которым является ограниченным и в отношении которых необходимо соблюдать конфиденциальность.Например:— государственная тайна,— коммерческая тайна,— налоговая тайна,— банковская тайна.Каждый вид ограниченных в доступе сведений, которым должен обеспечиваться режим конфиденциальности, регулируется отдельным актом. Например, сведения, составляющие государственную тайну, урегулированы нормами ст. 5 Федерального закона «О государственной тайне» и Указом Президента РФ от 30.11.1995 № 1203 «Об утверждении Перечня сведений, отнесенных к государственной тайне».Таким образом, в открытом доступе на тех или иных ресурсах подобная информация находиться не может. Для защиты собственных данных, составляющих коммерческую тайну, компания должна как минимум:
  • определить конкретный перечень информации, входящей в состав коммерческой тайны с указанием ответственных должностных лиц и мер ответственности за нарушения данного режима;
  • ограничить непосредственный доступ к такой информации (например, разработать инструкции по доступу к таким сведениям, создать систему логинов-паролей и т. д.);
  • фиксировать лиц, получающих доступ к подобным сведениям;
  • заключать с работниками и контрагентами соглашения о конфиденциальности и т. д.
За разглашение информации с ограниченным доступом Кодекс об административных правонарушениях РФ устанавливает ответственность в виде административного штрафа в отношении граждан в размере от 500 до 1000 рублей; в отношении должностных лиц — от 4000 до 5000 рублей.
✔️ Требования о запрете распространения отдельных категорий информации
В соответствии с п. 6 ст. 10 Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации» запрещается распространение информации, которая направлена на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды, а также иной информации, за распространение которой предусмотрена уголовная или административная ответственность.Такого рода информации на любом интернет-ресурсе быть не должно.В противном случае его могут заблокировать и внести в Реестр запрещенных сайтов Роскомнадзора. В случае если владелец сайта удалит незаконную информацию и сообщит об этом в Роскомнадзор, его веб-ресурс разблокируют.
✔️ Отраслевые требования по защите информации
В отечественном праве существует несколько специальных отраслевых требований, более строгих стандартов по защите информации, направленных на определенные сферы деятельности.Защита информации в банковской сфере При построении информационных систем в этой области применяются стандарты Центрального банка России «Обеспечение информационной безопасности организаций банковской системы РФ» (СТО БР ИББС-1.0-2006), приказы ФСТЭК и ФСБ России.Учитывая тот факт, что сайты, приложения и ПО банков ежедневно работают с массивом платежных данных пользователей, к защите информации в таких информационных системах предъявляются более строгие требования.Защита информации в рамках государственных информационных систем (ГИС)Главным образом требования и стандарты этой сферы установлены Приказом ФСТЭК России от 11.02.2013 № 17. Среди них: повышенные требования к аутентификации и идентификации пользователей, возможность управления их учетными записями, строгая антивирусная защита, а также обязательная аттестация, т. е. оценка уровня информационной безопасности ГИС на предмет соответствия законодательным требованиям.Для различных видов ГИС существуют разные требования и уточнения. Например, в сфере здравоохранения действуют повышенные требования к обработке персональных данных пользователей и обеспечения защиты врачебной тайны.Требования по обеспечению информационной безопасности систем и сайтов обширны. Как правило, в различных отраслях они устанавливаются отдельными подзаконными актами. Однако для понимания общих базовых требований можно выделить как минимум два федеральных закона: 
  • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»,
  • Федеральный закон № 152-ФЗ «О персональных данных».

Читать ещё