Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Письмо Ассоциации российских банков от 18 июля 2011 г. N А-01/5-557 "О новой редакции статьи 19 Федерального закона N 152-ФЗ "О персональных данных"
- Приложение 1. Редакция статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", согласованная участниками рынка
Приложение 1. Редакция статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", согласованная участниками рынка
Приложение 1
Редакция статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", согласованная участниками рынка
"Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор обязан принимать или обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий с ними (далее - меры по обеспечению безопасности персональных данных). Указанные меры принимаются с учетом возможного вреда субъекту персональных данных, объема и характера обрабатываемых персональных данных, условий обработки персональных данных, актуальности угроз безопасности персональных данных, а также возможностей технической реализации этих мер.
2. Меры по обеспечению безопасности персональных данных включают в себя, в частности:
1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применение методов (способов) защиты информации и прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
3) оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) учет машинных носителей персональных данных;
5) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
6) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
8) контроль принимаемых мер по обеспечению безопасности персональных данных.
3. Оператор, на которого в соответствии с законодательством Российской Федерации возложена обязанность обеспечивать сохранение охраняемой законом тайны, принимает меры по обеспечению безопасности персональных данных, составляющих соответствующую охраняемую законом тайну, при их обработке в информационных системах персональных данных в соответствии с требованиями, установленными для защиты сведений, составляющих соответствующую охраняемую законом тайну. Указанные меры должны обеспечивать соблюдение прав субъектов персональных данных, предусмотренных настоящим Федеральным законом.
4. Правительство Российской Федерации устанавливает с учетом частей 1 и 2 настоящей статьи:
1) требования по обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных с учетом содержания обрабатываемых персональных данных, характера и способов их обработки;
2) требования по обеспечению безопасности биометрических персональных данных, содержащихся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию.
5. Правительство Российской Федерации вправе установить требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности, и не являющихся государственными и муниципальными информационными системами персональных данных, в зависимости от характеристик угроз безопасности этих данных с учетом частей 1 и 2 настоящей статьи.
6. Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных в государственных и муниципальных информационных системах персональных данных, установленных Правительством Российской Федерации в соответствии с частью 4 настоящей статьи, осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
7. Федеральные органы исполнительной власти, иные государственные органы, органы местного самоуправления, операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе издавать стандарты обеспечения безопасности персональных данных. Стандарты обеспечения безопасности персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требований, устанавливаемых Правительством Российской Федерации в соответствии с частью 5 настоящей статьи. Стандарты обеспечения безопасности персональных данных в государственных и муниципальных информационных системах персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требованиями, указанными в пункте 1 части 4 настоящей статьи.
8. Оператор обязан принять решение о присоединении к стандарту обеспечения безопасности персональных данных, за исключением случаев, предусмотренных частью 22 статьи 25 настоящего Федерального закона. В случае, если необходимый стандарт обеспечения обработки персональных данных отсутствует, оператор вправе издать стандарт обеспечения безопасности персональных данных. Решение о присоединении к стандарту обеспечения безопасности персональных данных или об издании стандарта обеспечения безопасности персональных данных оператор принимает самостоятельно, если иное не установлено федеральным законом или международным договором Российской Федерации.
9. Федеральные органы исполнительной власти, иные государственные органы, операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов уведомляют федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, об изданных ими стандартах обеспечения безопасности персональных данных, а также о своем решении о присоединении к стандартам обеспечения безопасности персональных данных."