Федеральный закон от 27 июля 2006 года № 152-ФЗ

Федеральный закон от 27 июля 2006 года № 152-ФЗ “О персональных данных”

Ключевые требования 152-ФЗ от 27 июля 2006 года:
  • ПДН должны защищаться.
  • Класс средств защиты ПДН должен соответствовать классу защищаемых ПДН.
  • Класс средств СКЗИ должен быть соразмерен классу ПДН.

Главные выдержки из 152-ФЗ от 27 июля 2006 года:
  • ФЗ регламентирует отношения между оператором персональных данных и пользователями.
  • Закон регулирует сферу обработки, хранения, защиты и утилизации персональных данных операторами ИСПДН в случае, если операторы используют средства автоматизации.
  • Закон затрагивает область защиты прав и свобод граждан, связанных с обработкой их персональных данных, включая обеспечение конфиденциальности, целостности и доступности этих данных.
  • Закон объясняет принципы классификации ПДН.

Источник

Срок действия не ограничен

Ответственность:
  • Статья 19.7 КоАП РФ: Непредставление или несвоевременное представление в уполномоченный орган сведений, представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление таких сведений (информации) в неполном объеме или в искаженном виде
  • Статья 5.39 КоАП РФ: Неправомерный отказ в предоставлении гражданину, в том числе адвокату в связи с поступившим от него адвокатским запросом, и (или) организации информации, предоставление которой предусмотрено законами, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации
  • Часть 1 и 1.1 ст. 13.1 КоАП РФ: Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка персональных данных, несовместимая с целями сбора персональных данных
  • Часть 2 и 2.1 ст. 13.11 КоАП РФ: Обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, либо обработка персональных данных с нарушением установленных требований к составу сведений, включаемых в такое согласие
  • Часть 3 ст. 13.11 КоАП РФ: Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных
  • Часть 4 ст. 13.11 КоАП РФ: Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
  • Часть 5 и 5.1 ст. 13.11 КоАП РФ: Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
  • Часть 6 ст. 13.11 КоАП РФ: Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих сохранность данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния
  • Часть 7 ст. 13.11 КоАП РФ: Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных
  • Часть 8 и 9 ст. 13.11 КоАП РФ: Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ
  • Статья 137 УК РФ: Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации
  • Статья 140 УК РФ: Неправомерный отказ должностного лица в предоставлении собранных документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан
  • Статья 272 УК РФ: Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации

Ответственные лица
  • Руководители государственных органов (организаций)
  • Зам. руководителя по ИБ

Связанные документы:
  • № 262-ФЗ от 22 декабря 2008 года "Об обеспечении доступа к информации о деятельности судов в Российской Федерации"
  • Приказ ФСБ России от 10.07.2014 № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"
  • Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
  • Приказ ФСБ России от 13.02.2023 № 77 "Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных"

ИТ-решения, которые закрывают требования нормативных документов
  • Kaspersky Symphony XDR превью Мощная платформа для многоуровневого обнаружения атак, мониторинга, расследования, проактивного поиска угроз и реагирования на сложные инциденты.
  • vGate превью Средство защиты компонентов виртуальной платформы.
  • Континент 4 превью Универсальное устройство корпоративного уровня для всесторонней защиты сети (UTM) с поддержкой алгоритмов ГОСТ.
  • Континент 3 превью Централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ.
  • Континент ZTN превью Клиентское приложение для защищенного доступа в корпоративную сеть с удаленных персональных компьютеров и смартфонов сотрудников.
  • Континент TLS превью Система обеспечения защищенного удаленного доступа к веб-приложениям с использованием алгоритмов шифрования ГОСТ.
  • Secret Net LSP превью Сертифицированное средство защиты от несанкционированного доступа к информационным ресурсам компьютеров, функционирующих под управлением дистрибутивов Linux.
  • Secret Net Studio for Linux  превью Сертифицированное средство защиты от несанкционированного доступа к информационным ресурсам
  • Secret Net Studio превью Защита данных и инфраструктуры серверов и рабочих станций
  • Staffcop Enterprise превью Программное обеспечение предназначено для обеспечения информационной безопасности и улучшения эффективности работы организаций и предприятий.
  • RuSIEM превью SIEM-система, включающая корреляцию в режиме реального времени, визуализацию данных и поиск по ним, долгосрочное хранение сырых и нормализованных событий, инцидент менеджмент и отчеты.
  • ViPNet Administrator 4 превью Программный комплекс предназначен для настройки и управления виртуальной частной сетью.
  • ViPNet Client 4/4U превью Решение, разработанное специально для защиты предприятий от сетевых атак с помощью фильтрации трафика.
  • ViPNet Coordinator IG превью Индустриальный шлюз безопасности и межсетевой экран для защиты промышленных сетей.
  • ViPNet Coordinator KB превью Модельный ряд шлюзов безопасности ViPNet, удовлетворяющий требованиям к средствам криптографической защиты информации по классу KB.
  • ViPNet CSP 4 превью Инструмент для надежной криптографической защиты информации.
  • ViPNet CSS Connect превью Приложение для защищенного общения корпоративных пользователей.
  • ViPNet EndPoint Protection превью Система комплексной защиты рабочих станций и серверов, предназначенная для предотвращения «файловых», «бесфайловых» и сетевых атак, обнаружения вредоносных действий и реакции на эти действия.
  • ViPNet HSM превью Высокопроизводительная программно-аппаратная криптографическая платформа в составе продуктовой линейки ViPNet PKI.
  • ViPNet IDS 3 превью Сетевой сенсор обнаружения сетевых атак и вредоносного программного обеспечения в файлах, передаваемых в сетевом трафике, и предназначенный для интеграции в компьютерные сети с целью повышения уровня защищенности информационных систем, центров обработки данных, рабочих станций пользователей, серверов и коммуникационного оборудования.
  • ViPNet IDS HS превью Система обнаружения вторжений, осуществляющая мониторинг и обработку событий внутри хоста.
  • ViPNet PKI Client превью Универсальный программный комплекс, предназначенный для решения основных задач пользователя при работе с сервисами.
  • ViPNet PKI Service превью Программно-аппаратный комплекс предназначенный для выполнения криптографических операций в прикладных сценариях информационных систем: генерации ключей, формирования и проверки электронной подписи (ЭП), шифрования данных.
  • ViPNet Policy Manager 4 превью Система для централизованного управления политиками безопасности.
  • ViPNet SafePoint превью Программное обеспечение, нацеленное на применение разграничительных.
  • ViPNet Terminal 4 превью Решение позволяет организовать защищенный доступ к терминальному рабочему месту, которое представляет собой заданный для пользователя набор приложений.
  • ViPNet TLS Gateway превью Шлюз безопасности, обеспечивающий аутентификацию пользователей и создание защищенных соединений в соответствии с TLS-протоколом.
  • ViPNet Coordinator HW 4/5 превью Линейка шлюзов безопасности, нацеленных на построение виртуальной сети и обеспечения защиты при передаче информации.
  • ViPNet Coordinator VA 4/5 превью Виртуальный шлюз безопасности для надежной защиты каналов связи.
  • ViPNet xFirewall 5 превью Шлюз безопасности — межсетевой экран следующего поколения, который устанавливается на границе сети, обеспечивает фильтрацию трафика на всех уровнях, позволяет создать гранулированную политику безопасности на основе учетных записей пользователей и списка приложений.
  • ViPNet L2-10G превью Программно-аппаратный комплекс (ПАК) ViPNet L2-10G – шлюз безопасности, который обеспечивает шифрование данных в канале Ethernet (темная оптика, MAN, WAN, выделенный канал).