Нормативные акты в области защиты персональных данных
О головной боли всех безопасников в области ИТ, а именно какие нормативные акты есть по персональным данным. Начнем с главного: В области информационной безопасности (ИБ) и персональных данных (ПДн) в России действует широкий спектр нормативных актов, регулирующих как общие вопросы, так и отраслевые требования. Вот основные из них: 1. Федеральные законы - Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — базовый закон, определяющий принципы, условия и порядок обработки ПДн, права субъектов и обязанности операторов. - Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» — регулирует защиту объектов КИИ. - Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» — определяет лицензирование деятельности по технической защите конфиденциальной информации. - Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платёжной системе» — содержит требования к защите информации в платёжных системах. 2. Подзаконные акты и постановления Правительства РФ - Постановление Правительства РФ от 01.11.2012 № 1119 — устанавливает требования к защите ПДн при их обработке в информационных системах. - Постановление Правительства РФ от 21.03.2012 № 211 — меры для государственных и муниципальных органов по выполнению обязанностей в сфере ПДн. - Постановление Правительства РФ от 03.02.2012 № 79 — о лицензировании деятельности по технической защите конфиденциальной информации. - Постановление Правительства РФ от 16.04.2012 № 313 — о лицензировании деятельности, связанной с шифровальными (криптографическими) средствами. 3. Акты ФСТЭК России и ФСБ России - Приказ ФСТЭК России от 18.02.2013 № 21 — о составе и содержании организационных и технических мер по обеспечению безопасности ПДн. - Приказ ФСТЭК России от 11.02.2013 № 17 — о защите информации в государственных информационных системах. - Приказы ФСБ России — регулируют вопросы криптографической защиты, мониторинга защищённости, реагирования на инциденты и др. 4. Профессиональные стандарты и методические документы - Профессиональные стандарты для специалистов по ИБ и технической защите информации (например, приказы Минтруда России). - Методические рекомендации ФСТЭК и ФСБ — по управлению уязвимостями, аттестации объектов информатизации, оценке уровня защищённости и др. 5. Отраслевые и ведомственные акты - Ведомственные приказы (Минздрав, Минтранс, МВД, Росфинмониторинг и др.) — определяют специфику обработки ПДн и обеспечения ИБ в отдельных сферах. 6. Ответственность - Уголовный кодекс РФ, КоАП РФ, Трудовой кодекс РФ — устанавливают ответственность за нарушения в сфере ИБ и ПДн. 7. Международные и национальные стандарты - ГОСТы и международные стандарты (например, ISO/IEC 27001, ISO/IEC 27701) — применяются для построения систем управления ИБ и ПДн.