Федеральный закон “Об информации, информационных технологиях и о защите информации”: краткий обзор

Каждый бизнес сегодня работает с информацией: клиентскими базами и внутренними документами, электронными переписками. Непринятие мер защиты информации в информационных системах может привести к штрафам, блокировкам и потере доверия клиентов. В этой статье мы подробно разберем, кого касается закон, какие обязанности возлагаются на компании и как защитить данные физлиц.

Кого касается этот закон

ФЗ №149-ФЗ “Об информации, информационных технологиях и о защите информации” устанавливает правовые рамки в сфере обращения информации, ИТ и защиты данных. Он направлен на баланс между правом на информирование и неприкосновенностью частной жизни. Ключевые принципы — защита частной жизни и недопустимость сбора информации без согласия.

Если вы обрабатываете персональные данные (ПДн) физических лиц, вы считаетесь оператором ПДн (ст.3 ФЗ от 27.07.2006 №152-ФЗ).В этом случае ФЗ №149-ФЗ тоже напрямую затрагивает деятельность вашей компании. Он применим ко всем формам информации — документированной, цифровой, публичной, конфиденциальной. Он обязывает устанавливать правила доступа, защищать информацию и регулировать распространение.

Важно! Соблюдать ФЗ №149-ФЗ важно еще и потому, что при непринятии мер по защите информации вашу компанию могут оштрафовать по ст.13.11 КоАП РФ, если ваши действия или бездействие станут причиной утечки. Суммы штрафов огромные — до 20 млн рублей, а при повторном нарушении — до 500 млн рублей.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Обязанности по защите информации

Защита информации — это комплекс мер, которые обеспечивают сохранность данных. Для компаний это значит не только использование технических средств защиты информации, но и организационное и правовое регулирование работы с информацией.

Конкретные обязанности по организации защиты информации согласно ст.16 ФЗ №149-ФЗ:

1. Предотвращение несанкционированного доступа: использование паролей, шифрования, систем авторизации и разграничения прав доступа.
2. Обнаружение фактов нарушения: мониторинг и логирование действий в информационных системах позволяют своевременно выявлять попытки несанкционированного доступа и системные сбои.
3. Минимизация последствий нарушений: при угрозах или инцидентах компания должна ограничивать доступ к системе, изолировать поврежденные базы и запускать процедуры восстановления данных.
4. Защита технических средств: необходимо предотвращать воздействие, которое может нарушить работу оборудования или программного обеспечения, включая контроль физического доступа и настройку защитных систем.
5. Восстановление информации: компания обязана иметь процедуры резервного копирования и восстановления данных на случай их модификации или уничтожения.
6. Контроль уровня защищенности: регулярные проверки систем, обновление программ и корректировка внутренних правил работы с данными обязательны для поддержания безопасности.
7. Локализация данных на территории РФ: они должны храниться на российских серверах, что предотвращает незаконную передачу данных за границу.

Практический пример:
Кадровое агентство хранит резюме соискателей в CRM. Для соблюдения ст. 16 ФЗ № 149-ФЗ оно должно ограничить доступ к базе только менеджерами и настроить двухфакторную авторизацию, исключить несанкционированный доступ посторонних лиц, а также исключить возможность негативного воздействия на технические средства систем, вести журнал действий пользователей, ежедневно делать резервное копирование, хранить ПДн на российских серверах, а также иметь четкую инструкцию на случай утечки.

Такой подход обеспечивает защиту данных, снижает риск штрафов и утечки информации, а также демонстрирует ответственность компании перед клиентами.

Важно! Если компания работает с государственными информационными системами или информацией ограниченного доступа, при организации защиты информации необходимо соблюдать требования иных законов, включая меры защиты от технической разведки и обеспечения информационной безопасности.

Заключение

Соблюдение ФЗ № 149-ФЗ — не формальность, а инструмент защиты бизнеса и клиентов. Четкое разграничение доступа, использование подходящих средств защиты информации в организации, локализация данных и документирование процессов помогают минимизировать риски утечек и штрафов. Правильная организация работы с данными повышает доверие клиентов и делает бизнес безопасным и прозрачным.