Постановлением Правительства РФ от 1 ноября 2012 г. №1119 утверждены «Требования к защите персональных данных при их обработке в информационных системах персональных данных».
Признано утратившим силу Постановление Правительства Российской Федерации от 17 ноября 2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы (п.2), которая включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе (п.3).
Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности (ФСБ) и Федеральной службой по техническому и экспортному контролю (ФСТЭК) (п.4)
В требованиях выделены несколько видов информационных систем (ИС), которые содержат различные категории персональных данных:
- ИС, обрабатывающая специальные категории персональных данных - обрабатываются ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПД.
- ИС, обрабатывающая биометрические персональные данные - обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПД, и не обрабатываются сведения, относящиеся к специальным категориям ПД.
- ИС, обрабатывающая общедоступные персональные данные - обрабатываются ПД субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».
- ИС, обрабатывающая иные категории персональных данных, если в ней не обрабатываются специальные, биометрические и общедоступные персональные данные.
- ИС, обрабатывающая персональные данные сотрудников оператора - обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.
Под актуальными угрозами безопасности ПД понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПД при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия (п.6).
Угрозы для информационной системы разделены на три типа:
Устанавливлены 4 уровня защищенности персональных данных (п.8). Самый высокий - 1-й уровень защищенности, который требуется обеспечить, если:
Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Этот контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом) (п.17).
Источник: Официальный сайт Правительства РФ
http://правительство.рф/gov/results/21355/
Угрозы для информационной системы разделены на три типа:
- Угрозы 1-го типа - угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
- Угрозы 2-го типа - угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
- Угрозы 3-го типа - угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Устанавливлены 4 уровня защищенности персональных данных (п.8). Самый высокий - 1-й уровень защищенности, который требуется обеспечить, если:
- для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;
- для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100 тысяч субъектов персональных данных, не являющихся сотрудниками оператора.
- Назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе;
- Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности
- Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
- Доступ к содержанию электронного журнала сообщений возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей
- Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
- Обеспечение сохранности носителей персональных данных.
Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Этот контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом) (п.17).
Источник: Официальный сайт Правительства РФ
http://правительство.рф/gov/results/21355/
Комментариев нет:
Отправить комментарий