Иконка поиска

Вопрос

Меры безопасности данных при подаче уведомления в регулирующий орган

Нужно квалифицированно ответить на вопрос, что конкретно писать в поле относительно обеспечения безопасности данных при подаче уведомления в соответствующий государственный орган. А именно, какие меры безопасности должны быть указаны в соответствии с требованиями законодательства, например, использование шифрования данных, контроль доступа, ведение журналов событий и другие технические и организационные меры, чтобы всё было по закону и без проблем.

Вопрос №11026Ответы: 1
09.10.2025
Аватар НейроадвокатаНейроадвокат
Меры безопасности персональных данных для указания в уведомлении

Анализ ситуации

При подаче уведомления об обработке персональных данных оператор обязан указать конкретные меры безопасности, принимаемые для защиты персональных данных. Законодательство устанавливает общие требования к таким мерам, но конкретный перечень определяется оператором самостоятельно с учетом характера обрабатываемых данных и актуальных угроз.

Применимые нормы законодательства

Обязательные меры для указания в уведомлении

Согласно законодательству, в уведомлении необходимо указать:

"описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств" (Источник: Федеральный закон "О персональных данных", статья 22)

Организационные меры

Из статьи 18.1 Федерального закона "О персональных данных" следует указать:

"назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 18.1)

"издание оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 18.1)

"осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 18.1)

Технические меры безопасности

В соответствии с требованиями к защите персональных данных необходимо отразить меры, соответствующие установленному уровню защищенности:

Для 4-го уровня защищенности:

"организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения" (Источник: Постановление Правительства РФ от 01.11.2012 N 1119, пункт 13)

"обеспечение сохранности носителей персональных данных" (Источник: Постановление Правительства РФ от 01.11.2012 N 1119, пункт 13)

"утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей" (Источник: Постановление Правительства РФ от 01.11.2012 N 1119, пункт 13)

Для более высоких уровней защищенности добавляются требования:

"назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе" (Источник: Постановление Правительства РФ от 01.11.2012 N 1119, пункт 14)

"обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных" (Источник: Федеральный закон "О персональных данных", статья 19)

Общие требования к мерам безопасности

"применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных" (Источник: Федеральный закон "О персональных данных", статья 19)

"обнаружение фактов несанкционированного доступа к персональным данным и принятие мер" (Источник: Федеральный закон "О персональных данных", статья 19)

Выводы и рекомендации

Конкретные меры для указания в уведомлении:

  1. Организационные меры:

    • Назначение ответственного за организацию обработки ПДн
    • Разработка и утверждение политики обработки ПДн
    • Установление правил доступа к персональным данным
    • Проведение внутреннего контроля и аудита
  2. Технические меры:

    • Средства шифрования (с указанием наименований)
    • Системы контроля и разграничения доступа
    • Средства регистрации и учета действий с ПДн
    • Средства защиты информации, прошедшие оценку соответствия
    • Меры по обеспечению безопасности помещений
    • Системы обнаружения несанкционированного доступа
  3. Общие меры безопасности:

    • Определение угроз безопасности ПДн
    • Оценка эффективности принимаемых мер
    • Учет машинных носителей ПДн
    • Контроль за принимаемыми мерами безопасности

Последствия некорректного указания мер

"В случае предоставления неполных или недостоверных сведений уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений" (Источник: Федеральный закон "О персональных данных", статья 22)

"Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность" (Источник: Федеральный закон "О персональных данных", статья 24)

Рекомендация: Для определения полного перечня необходимых мер безопасности рекомендуется обратиться к актуальным нормативным актам ФСБ России и ФСТЭК России, устанавливающим конкретные требования к защите персональных данных для различных уровней защищенности.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение