2-го июня 2013 г. вступил в силу Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» («Приказ»).
Правительством РФ ранее было принято Постановление от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которым, в частности, определены уровни защищенности персональных данных («ПД») при их обработке в информационных системах в зависимости от характера угроз, объема и значимости обрабатываемых сведений.
Приказом установлены состав и содержание организационных и технических мер, необходимых для выполнения требований, установленных Постановлением Правительства РФ № 1119.
Приказом определен детальный состав мер по обеспечению безопасности ПД в зависимости от уровня защищенности ПД. Введены 15 категорий мер, 8 из которых обязательны вне зависимости от уровня защищенности ПД, а именно:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- регистрация событий безопасности;
- антивирусная защита;
- контроль (анализ) защищенности ПД;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств, систем связи и передачи данных.
Среди наиболее существенных новшеств соответствующих мер можно отметить защиту среды виртуализации и контроль установки обновлений программного обеспечения, которые ранее не предусматривались.
Одним из положительных нововведений Приказа является то, что оператор в случае невозможности технической реализации отдельных мер или с учетом экономической целесообразности вправе разрабатывать иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПД. В этом случае в ходе разработки системы защиты ПД должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности ПД.
В соответствии с Приказом работы по обеспечению безопасности ПД при их обработке в информационной системе и оценка эффективности мер по защите ПД в информационной системе может проводиться оператором самостоятельно или с привлечением третьего лица. Если для указанных целей привлекается третье лицо, оно в обязательном порядке должно иметь лицензию на деятельность по технической защите конфиденциальной информации.
Со вступлением в силу Приказа утрачивает силу Приказ ФСТЭК России от 05.02.2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
Выводы и рекомендации
Мы рекомендуем в самое ближайшее время провести оценку соответствия мер, принятых в компании для защиты ПД при их обработке в информационных системах, положениям Приказа и обеспечить выполнение установленных Приказом требований.
Неисполнение установленных требований к защите ПД может повлечь административную ответственность организации и/или ее должностных лиц. Отметим, что в соответствии с законопроектом, разработанным Роскомнадзором (в настоящее время в Государственную Думу РФ еще не внесен), планируется значительно увеличить административные штрафы за нарушение порядка сбора, хранения, использования, распространения ПД до 30 – 500 тыс. рублей для юридических лиц (в настоящее время максимальный размер административного штрафа составляет 10 тыс. рублей), а по отдельным нарушениям ввести для предпринимателей и компаний оборотные штрафы в размере 0,5-2 процента от совокупного дохода за прошлый год.
Помощь консультантов
Специалисты компании «Пепеляев Групп» обладают значительным опытом консультирования по вопросам соблюдения законодательства о ПД и могут оказать любую необходимую помощь по организационным, правовым, а также техническим вопросам приведении деятельности компаний-операторов в соответствие с требованиями законодательства о ПД.
ООО «Пепеляев Групп» имеет лицензии на осуществление деятельности по технической защите конфиденциальной информации и ряд лицензий ФСТЭК и ФСБ в области защиты информации, что позволяет реализовывать любые комплексные проекты в области защиты ПД.
Для получения дополнительной информации обращайтесь, пожалуйста:
В Москве – к Юлии Бороздна, руководителю практики трудового и миграционного права «Пепеляев Групп», по тел.: (495) 967-00-07 либо по j.borozdna@pgplaw.ru; Елене Овчаровой, Руководителю группы Административно-правовой защиты бизнеса, по тел.: (495) 967-00-07 либо по e.ovcharova@pgplaw.ru;
В Санкт-Петербурге – к Александру Коркину, старшему юристу «Пепеляев Групп» (Спб), по тел.: (812) 640-60-10 либо по a.korkin@pgplaw.ru
В Красноярске - к Егору Лысенко, руководителю сибирского отделения «Пепеляев Групп», по тел. +7 (391) 277-73-00 либо по e.lysenko@pgplaw.ru