понедельник, 12 ноября 2012 г.

Правительством утверждены «Требования к защите персональных данных при их обработке в информационных системах персональных данных»


Постановлением Правительства РФ от 1 ноября 2012 г. №1119 утверждены «Требования к защите персональных данных при их обработке в информационных системах персональных данных».

Признано утратившим силу Постановление Правительства Российской Федерации от 17 ноября 2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы (п.2), которая включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе (п.3).

Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности  (ФСБ) и Федеральной службой по техническому и экспортному контролю (ФСТЭК) (п.4)

В требованиях выделены несколько видов информационных систем (ИС), которые содержат различные категории персональных данных:
  • ИС, обрабатывающая специальные категории персональных данных - обрабатываются ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПД.

  • ИС, обрабатывающая биометрические персональные данные - обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПД, и не обрабатываются сведения, относящиеся к специальным категориям ПД.

  • ИС, обрабатывающая общедоступные персональные данные - обрабатываются ПД субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О  персональных данных».

  • ИС, обрабатывающая иные категории персональных данных, если в ней не обрабатываются специальные, биометрические и общедоступные персональные данные.

  • ИС, обрабатывающая персональные данные сотрудников оператора - обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.
Под актуальными угрозами безопасности ПД понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПД при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия (п.6).

Угрозы для информационной системы разделены на три типа:
  • Угрозы 1-го типа - угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;

  • Угрозы 2-го типа - угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;

  • Угрозы 3-го типа - угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда (п.7).

Устанавливлены 4 уровня защищенности персональных данных (п.8). Самый высокий - 1-й уровень защищенности, который требуется обеспечить, если:
  • для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

  • для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100 тысяч субъектов персональных данных, не являющихся сотрудниками оператора.
Для обеспечения 1-го уровня защищенности персональных данных необходимо выполнение следующих требований:
  • Назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе;

  • Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности

  • Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

  • Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

  • Доступ к содержанию электронного журнала сообщений возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей

  • Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

  • Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

  • Обеспечение сохранности носителей персональных данных.
Для остальных уровней защищенности требуется исполнение только части этих требований.

Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Этот контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом) (п.17).

Источник: Официальный сайт Правительства РФ
http://правительство.рф/gov/results/21355/ 

Комментариев нет:

Отправить комментарий