В связи с принятием постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП-1119) утратило силу постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – ПП-781).
Учитывая, что ПП-1119 было принято в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. 152-ФЗ «О персональных данных» (далее - 152-ФЗ) в той редакции, которая распространяется на правоотношения, возникшие с 1 июля 2011 года, требования ПП-1119 обязательны к исполнению для информационных систем персональных данных (далее – ИСПДн), созданных с 1 июля 2011 года. В отношении ИСПДн, созданных до 1 июля 2011 года, применимы как требования ПП-1119, так и требования ПП-781.
В случае, если работы по обеспечению безопасности персональных данных в ИСПДн, созданных с 1 июля 2011 года, уже были выполнены до вступления в силу ПП-1119, после принятия нормативных правовых актов ФСБ России и ФСТЭК России необходимо будет пересмотреть результаты выполненных работ на соответствие ПП-1119, а также указанным документам ФСБ России и ФСТЭК России, в соответствии с которыми будет осуществляться выбор средств защиты информации (далее – СЗИ).
Новым ПП-1119 установлены:
В соответствии с ПП-1119 оператору или лицу, осуществляющему обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора, необходимо создать систему защиты персональных данных, обеспечивающую безопасность персональных данных, включающую организационные и (или) технические меры, которые определяются с учетом:
При этом в ПП-1119 не содержится упоминания о СЗИ как обязательной компоненте обеспечения безопасности персональных данных, как это было определено в ПП-781.
В ПП-1119 установлены как новые требования к операторам, так и требования, ранее закрепленные в других нормативных правовых актах:
1. Необходимо включить в договор между оператором и уполномоченным лицом обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в ИСПДн1).
2. СЗИ для системы защиты персональных данных должны быть выбраны оператором после принятия нормативных правовых актов ФСБ России и ФСТЭК России во исполнение ч.4 ст.19 152-ФЗ.
3. Необходимо определить, какие категории персональных данных обрабатываются в каждой ИСПДн, а также к какой из двух категорий субъектов (работники оператора или иные лица) принадлежат эти персональные данные:
При этом:
4. Необходимо определить, угрозы какого типа из трех возможных актуальны для этих ИСПДн в зависимости от наличия недокументированных (недекларированных) возможностей, а также типа программного обеспечения (системное (далее - СПО) или прикладное (далее – ППО)). Определение типа актуальных угроз должно осуществляться с учетом оценки возможного вреда субъектам персональных данных и в соответствии с нормативными правовыми актами, определяющими актуальные угрозы безопасности персональных данных при их обработке в ИСПДн при осуществлении соответствующих видов деятельности3).
5. Необходимо разработать документ, на основании которого можно оценить возможный вред субъектам персональных данных в случае нарушения 152-ФЗ4).
6. Необходимо установить количество субъектов, персональные данные которых обрабатываются в каждой ИСПДн (больше 100 000 или меньше 100 000).
7. Необходимо определить, какой уровень защищенности персональных данных из четырех возможных необходимо обеспечивать при их обработке в ИСПДн (см.Таблицу 1) на основании:
8. Выполнить требования, предусмотренные в ПП-1119, для обеспечения соответствующего уровня защищенности персональных данных (см. Таблицу 2).
9. Оператору (уполномоченному лицу) необходимо не реже 1 раза в 3 года организовывать и проводить контроль за выполнением указанных требований (самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.