О положениях постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
В связи с принятием постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП-1119) утратило силу постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – ПП-781).
Учитывая, что ПП-1119 было принято в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. 152-ФЗ «О персональных данных» (далее - 152-ФЗ) в той редакции, которая распространяется на правоотношения, возникшие с 1 июля 2011 года, требования ПП-1119 обязательны к исполнению для информационных систем персональных данных (далее – ИСПДн), созданных с 1 июля 2011 года. В отношении ИСПДн, созданных до 1 июля 2011 года, применимы как требования ПП-1119, так и требования ПП-781.
В случае, если работы по обеспечению безопасности персональных данных в ИСПДн, созданных с 1 июля 2011 года, уже были выполнены до вступления в силу ПП-1119, после принятия нормативных правовых актов ФСБ России и ФСТЭК России необходимо будет пересмотреть результаты выполненных работ на соответствие ПП-1119, а также указанным документам ФСБ России и ФСТЭК России, в соответствии с которыми будет осуществляться выбор средств защиты информации (далее – СЗИ).
Новым ПП-1119 установлены:
- требования к защите персональных данных при их обработке в ИСПДн;
- уровни защищенности таких данных.
В соответствии с ПП-1119 оператору или лицу, осуществляющему обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора, необходимо создать систему защиты персональных данных, обеспечивающую безопасность персональных данных, включающую организационные и (или) технические меры, которые определяются с учетом:
- актуальных угроз безопасности персональных данных;
- информационных технологий, используемых в ИСПДн.
При этом в ПП-1119 не содержится упоминания о СЗИ как обязательной компоненте обеспечения безопасности персональных данных, как это было определено в ПП-781.
В ПП-1119 установлены как новые требования к операторам, так и требования, ранее закрепленные в других нормативных правовых актах:
1. Необходимо включить в договор между оператором и уполномоченным лицом обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в ИСПДн1).
2. СЗИ для системы защиты персональных данных должны быть выбраны оператором после принятия нормативных правовых актов ФСБ России и ФСТЭК России во исполнение ч.4 ст.19 152-ФЗ.
3. Необходимо определить, какие категории персональных данных обрабатываются в каждой ИСПДн, а также к какой из двух категорий субъектов (работники оператора или иные лица) принадлежат эти персональные данные:
- специальные категории персональных данных;
- биометрические персональные данные;
- общедоступные персональные данные;
- иные категории персональных данных.
При этом:
- в ПП-1119 не упоминаются обезличенные персональные данные как категория персональных данных. Следовательно, для персональных данных, в отношении которых были совершены действия по обезличиванию, определение уровня защищенности зависит от изначальной категории персональных данных2);
- сведения о судимости не причислены ни к одной из вышеназванных категорий персональных данных, несмотря на то, что в ст.10 152-ФЗ они отнесены к специальным категориям;
- ИСПДн признается обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов, полученные только из общедоступных источников персональных данных. Случаи, когда персональные данные сделаны субъектом общедоступными в соответствии с п.10 ч.1 ст.6 152-ФЗ, в ПП-1119 не рассмотрены.
4. Необходимо определить, угрозы какого типа из трех возможных актуальны для этих ИСПДн в зависимости от наличия недокументированных (недекларированных) возможностей, а также типа программного обеспечения (системное (далее - СПО) или прикладное (далее – ППО)). Определение типа актуальных угроз должно осуществляться с учетом оценки возможного вреда субъектам персональных данных и в соответствии с нормативными правовыми актами, определяющими актуальные угрозы безопасности персональных данных при их обработке в ИСПДн при осуществлении соответствующих видов деятельности3).
5. Необходимо разработать документ, на основании которого можно оценить возможный вред субъектам персональных данных в случае нарушения 152-ФЗ4).
6. Необходимо установить количество субъектов, персональные данные которых обрабатываются в каждой ИСПДн (больше 100 000 или меньше 100 000).
7. Необходимо определить, какой уровень защищенности персональных данных из четырех возможных необходимо обеспечивать при их обработке в ИСПДн (см.Таблицу 1) на основании:
- типа актуальных угроз,
- категорий персональных данных, обрабатываемых в ИСПДн,
- категорий субъектов, персональные данные которых обрабатываются в ИСПДн,
- количества субъектов, персональные данные которых обрабатываются в каждой ИСПДн.
8. Выполнить требования, предусмотренные в ПП-1119, для обеспечения соответствующего уровня защищенности персональных данных (см. Таблицу 2).
9. Оператору (уполномоченному лицу) необходимо не реже 1 раза в 3 года организовывать и проводить контроль за выполнением указанных требований (самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.
