Утвержден перечень организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах

Правительством РФ ранее было принято Постановление от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которым, в частности, определены уровни защищенности персональных данных («ПД») при их обработке в информационных системах в зависимости от характера угроз, объема и значимости обрабатываемых сведений. 

 

Приказом установлены состав и содержание организационных и технических мер, необходимых для выполнения требований, установленных Постановлением Правительства РФ № 1119. 

Приказом определен детальный состав мер по обеспечению безопасности ПД в зависимости от уровня защищенности ПД. Введены 15 категорий мер, 8 из которых обязательны вне зависимости от уровня защищенности ПД, а именно:

• идентификация и аутентификация субъектов доступа и объектов доступа;
• управление доступом субъектов доступа к объектам доступа;
• регистрация событий безопасности;
• антивирусная защита;
• контроль (анализ) защищенности ПД;
• защита среды виртуализации;
• защита технических средств;
• защита информационной системы, ее средств, систем связи и передачи данных.

Среди наиболее существенных новшеств соответствующих мер можно отметить защиту среды виртуализации и контроль установки обновлений программного обеспечения, которые ранее не предусматривались.

Одним из положительных нововведений Приказа является то, что оператор в случае невозможности технической реализации отдельных мер или с учетом экономической целесообразности вправе разрабатывать иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПД. В этом случае в ходе разработки системы защиты ПД должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности ПД.

В соответствии с Приказом работы по обеспечению безопасности ПД при их обработке в информационной системе и оценка эффективности мер по защите ПД в информационной системе может проводиться оператором самостоятельно или с привлечением третьего лица. Если для указанных целей привлекается третье лицо, оно в обязательном порядке должно иметь лицензию на деятельность по технической защите конфиденциальной информации.

Со вступлением в силу Приказа утрачивает силу Приказ ФСТЭК России от 05.02.2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

Мы рекомендуем в самое ближайшее время провести оценку соответствия мер, принятых в компании для защиты ПД при их обработке в информационных системах, положениям Приказа и обеспечить выполнение установленных Приказом требований. 

Неисполнение установленных требований к защите ПД может повлечь административную ответственность организации и/или ее должностных лиц. Отметим, что в соответствии с законопроектом, разработанным Роскомнадзором (в настоящее время в Государственную Думу РФ еще не внесен), планируется значительно увеличить административные штрафы за нарушение порядка сбора, хранения, использования, распространения ПД до 30 – 500 тыс. рублей для юридических лиц (в настоящее время максимальный размер административного штрафа составляет 10 тыс. рублей), а по отдельным нарушениям ввести для предпринимателей и компаний оборотные штрафы в размере 0,5-2 процента от совокупного дохода за прошлый год. 

Специалисты компании «Пепеляев Групп» обладают значительным опытом консультирования по вопросам соблюдения законодательства о ПД и могут оказать любую необходимую помощь по организационным, правовым, а также техническим вопросам приведении деятельности компаний-операторов в соответствие с требованиями законодательства о ПД. 

ООО «Пепеляев Групп» имеет лицензии на осуществление деятельности по технической защите конфиденциальной информации и ряд лицензий ФСТЭК и ФСБ в области защиты информации, что позволяет реализовывать любые комплексные проекты в области защиты ПД.

В  Москве – к Юлии Бороздна, руководителю практики трудового и миграционного права «Пепеляев Групп», по тел.: (495) 967-00-07 либо по j.borozdna@pgplaw.ru; Елене Овчаровой, Руководителю группы Административно-правовой защиты бизнеса, по тел.: (495) 967-00-07 либо по e.ovcharova@pgplaw.ru;

В  Санкт-Петербурге – к Александру Коркину, старшему юристу «Пепеляев Групп» (Спб), по тел.: (812) 640-60-10 либо по a.korkin@pgplaw.ru

В Красноярске - к Егору Лысенко, руководителю сибирского отделения «Пепеляев Групп», по тел. +7 (391) 277-73-00 либо по e.lysenko@pgplaw.ru