Требования законодательства по защите персональных данных в Беларуси и их взаимосвязь. С гиперссылками на тексты нормативных правовых актов. + Добавлен раздел про ответственность за нарушения законодательства.

1. Закон РБ от 07.05.2021 г. № 99-З
«О защите персональных данных»
Ответственный за осуществление
внутреннего контроля за обработкой
ПДн
Политика в отношении обработки ПДн
+ ознакомление с ней работников
Порядок доступа к ПДн
Техническая и криптографическая
защита ПДн в порядке, установленном
ОАЦ
Согласие субъекта ПДн + исключения
 Право на отзыв согласия
 Право на получение информации, касающейся
обработки ПДн, и изменение ПДн
 Право на получение информации о предоставлении
ПДн третьим лицам
 Право требовать прекращения обработки ПДн и (или)
их удаления
 Порядок подачи заявления субъектом ПДн оператору
 Право на обжалование действий (бездействия) и
решений оператора, связанных с обработкой ПДн
ТР «Информационные технологии. Средства защиты информации.
Информационная безопасность» (ТР 2013/027/BY). Постановление Сов Мин РБ
15.05.2013 № 375 (в редакции от 12.03.2020 № 145)
Перечень государственных стандартов,
взаимосвязанных с TP 2013/027/BY.
Приказ ОАЦ от 12.03.2020 № 77
Положение о порядке аттестации
Приказ ОАЦ от 20.02.2020 № 66
Положение о порядке представления в ОАЦ сведений о событиях ИБ, состоянии ТЗИ и КЗИ.
Приказ ОАЦ от 20.02.2020 № 66
Положение о порядке ТЗИ и КЗИ
Приказ ОАЦ от 20.02.2020 № 66
Политика ИБ
Регламентированные процессы
52 требования
Тех задание
Общая схема системы защиты
Сертифицированные средства защиты
(Rout, VPN, FW, IPS, Antivirus)
Аттестация системы защиты
Дополнительная отчетность
Ответственный за ТЗИ и КЗИ
Положение о порядке ТЗИ и КЗИ КВОИ
Приказ ОАЦ от 20.02.2020 № 66
Политика ИБ (дополнительные требования)
Регламентированные процессы (аналогичные
ISO/IEC 27001)
74 требования
Формуляр с детальным описанием системы
(ДСП)
Сертифицированные средства защиты
(+ DLP)
Ежегодный аудит
Дополнительная отчетность
Ответственный за ТЗИ и КЗИ КВОИ
Если
субъектов ПДн
>500 тыс
Постановление
Совета
Министров
РБ
от
12
августа
2014
г.
№
783
О
служебной
информации
ограниченного
распространения
и
информации,
составляющей
коммерческую
тайну
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ:
персональные данные (ПДн) – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
специальные персональные данные – персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в
профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также
биометрические и генетические персональные данные;
биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его
уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое);
генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит
уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в
соответствии с требованиями законодательных актов.
ТЕХНИЧЕСКАЯ И КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
В РЕСПУБЛИКЕ БЕЛАРУСЬ
 Закон РБ от 10.11.2008 г. № 455-З «Об информации, информатизации и защите информации».
 Закон РБ от 07.05.2021 г. № 99-З «О защите персональных данных».
 Положение о технической и криптографической защите информации. Указ Президента РБ от 16.04.2013 № 196 (в редакции Указа Президента РБ от 09.12.2019 № 449).
 Технический регламент Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY). Постановление Сов Мин РБ 15.05.2013 № 375
(в редакции постановления Совета Министров РБ 12.03.2020 № 145).
 О служебной информации ограниченного распространения и информации, составляющей коммерческую тайну. Постановление Совета Министров РБ от 12 августа 2014 г. № 783.
 Перечень государственных стандартов, взаимосвязанных с техническим регламентом Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность»
(TP 2013/027/BY). Приказ ОАЦ от 12.03.2020 № 77.
 Положение о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой
ограничено. Приказ ОАЦ от 20.02.2020 № 66.
 Положение о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено. Приказ
ОАЦ от 20.02.2020 № 66.
 Положение о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации. Приказ ОАЦ от 20.02.2020 № 66.
 КОДЕКС РЕСПУБЛИКИ БЕЛАРУСЬ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ.
 УГОЛОВНЫЙ КОДЕКС РЕСПУБЛИКИ БЕЛАРУСЬ
КОДЕКС РЕСПУБЛИКИ БЕЛАРУСЬ ОБ
АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ
УГОЛОВНЫЙ КОДЕКС РЕСПУБЛИКИ БЕЛАРУСЬ
203-1. Незаконные действия в отношении информации о частной жизни и персональных данных
1. Умышленные незаконные сбор, предоставление информации о частной жизни и (или) персональных данных другого лица без его согласия,
повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина, – наказываются общественными
работами, или штрафом, или арестом, или ограничением свободы на срок до двух лет, или лишением свободы на тот же срок.
2. Умышленное незаконное распространение информации о частной жизни и (или) персональных данных другого лица без его согласия,
повлекшее причинение существенного вреда правам, свободам и законным интересам гражданина, – наказывается ограничением свободы
на срок до трех лет или лишением свободы на тот же срок со штрафом.
3. Действия, предусмотренные частями 1 или 2 настоящей статьи, совершенные в отношении лица или его близких в связи с осуществлением
им служебной деятельности или выполнением общественного долга, – наказываются ограничением свободы на срок до пяти лет или
лишением свободы на тот же срок со штрафом.
Статья 203-2. Несоблюдение мер обеспечения защиты персональных данных
Несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по
неосторожности их распространение и причинение тяжких последствий, – наказывается штрафом, или лишением права занимать
определенные должности или заниматься определенной деятельностью, или исправительными работами на срок до одного года, или
арестом, или ограничением свободы на срок до двух лет, или лишением свободы на срок до одного года.
Статья 23.7. Нарушение законодательства о защите персональных данных
Умышленные незаконные сбор, обработка, хранение или предоставление
персональных данных физического лица либо нарушение его прав,
связанных с обработкой персональных данных, – влекут наложение
штрафа в размере до 50 базовых величин (БВ).
Деяния, предусмотренные частью 1 настоящей статьи, совершенные
лицом, которому персональные данные известны в связи с его
профессиональной или служебной деятельностью, – влекут наложение
штрафа в размере от 4 до 100 БВ.
Умышленное незаконное распространение персональных данных
физических лиц – влечет наложение штрафа в размере до 200 БВ.
Несоблюдение мер обеспечения защиты персональных данных
физических лиц – влечет наложение штрафа в размере от 2 до 10 БВ, на
индивидуального предпринимателя – от 10 до 25 БВ, а на юридическое
лицо – от 20 до 50 БВ.