07 Ноября 2012
Новые требования к защите персональных данных
Постановлением определено, что безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и таким лицом должен предусматривать обязанность данного лица обеспечить безопасность персональных данных при их обработке.
Оператор системы выбирает средства защиты информации в соответствии с нормативными актами ФСБ России и ФСТЭК России.
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Определение типа угроз безопасности персональных данных, актуальных для системы, производится оператором с учетом оценки возможного вреда и в соответствии с нормативными правовыми актами уполномоченных органов.
При обработке персональных данных в системах устанавливаются 4 уровня защищенности в зависимости от категории данных и количества субъектов, данные которых содержит система.
Выполнение требований контролируется оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей. Последние должны иметь лицензию на занятие деятельностью по технической защите конфиденциальной информации.
Контроль проводится не реже 1 раза в три года. Конкретные сроки определяются оператором (уполномоченным лицом).
Прежние требования признаны утратившими силу.
