Правительство РФ утвердило новые требования к защите персональных данных при их обработке в информационных системах персональных данных (постановление от 01.11.2012 № 1119). Новый документ вступит в силу 15 ноября и заменит прежнее постановление от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
Для начала стоит отметить, что два документа — постановление от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее — постановление № 781) и постановление от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — постановление № 1119) имеют абсолютно разную структуру и содержание. В прежнем, пока еше действующем постановлении № 781, например, были подробно перечислены мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах (п. 11).
Хотя есть у двух документов и общие моменты. Так, и в постановлении № 781, и в постановлении № 1119 установлено, что безопасность информационной системы персональных данных обеспечивает ее оператор или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с ним договора — уполномоченное оператором лицо.
Судьба Методических рекомендаций к прежнему порядку не определена
Отметим, что на основании постановления № 781 были приняты Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утвержденные ФСБ России 21.02.2008 № 149/54-144), которые теперь должны утратить силу с момента начала действия нового постановления № 1119. Однако специального указания о прекращении действия этих рекомендаций в постановлении № 1119 нет, как нет и распоряжения органам исполнительной власти принять новые методрекомендации во исполнение требований постановления № 1119.
Новое постановление содержит классификацию угроз безопасности
Постановление № 1119 содержит довольно подробную классификацию информационных систем персональных данных (п. 5), угроз безопасности таких систем (п. 6), уровней защищенности информационных систем от указанных угроз (п. 9—17).
Так, в постановлении № 1119 выделено пять типов информационных систем персональных данных в зависимости от того, какие именно данные обрабатываются в рамках такой системы:
- информационные системы, обрабатывающие специальные категории персональных данных (данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и т.д.);
- информационные системы, обрабатывающие биометрические данные (данные, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность);
- информационные системы, обрабатывающие общедоступные персональные данные;
- информационные системы, обрабатывающие иные категории персональных данных (данные, не перечисленные выше);
- информационные системы, обрабатывающие данные о сотрудниках оператора информационной системы.
Также в этом постановлении выделены три типа угроз безопасности информационных систем персональных данных:
- связанные с наличием недокументированных возможностей в системном программном обеспечении, используемом в информационной системе;
- связанные с наличием недокументированных возможностей в прикладном программном обеспечении, используемом в информационной системе;
- не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
В зависимости от соотношения типа информационной системы и характерных для нее угроз выделены четыре уровня защищенности персональных данных, необходимых для конкретной информационной системы. Например, первый уровень безопасности требуется для информационных систем, которые обрабатывают специальные категории, биометрические или иные категории персональных данных, и для такой системы актуальны угрозы первого типа (п. 9 постановления № 1119).
Вступление в силу постановления № 1119 потребует корректировок иных актов
Заметим, что приведенная в постановлении № 1119 классификация почти полностью совпадает с классификацией, утвержденной приказом ФСТЭК № 55, ФСБ № 86 и Министерства информтехнологий России № 20 от 13.02.2008, который был принят на основании постановления № 781 и зарегистрирован в Минюсте России 03.04.2008 № 11462. И хотя в постановлении № 1119 соответствующего распоряжения нет, после вступления в силу данного документа в приказ № 55/86/20 от 13.02.2008 необходимо внести корректировки.
Контроль за установленными постановлением № 1119 требованиями оператор может проводить не реже одного раза в три года самостоятельно или с привлечением на договорной основе лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 постановления № 1119).