Утверждены требования к
защите персональных данных при их обработке в информационных системах.
Документ классифицирует возникающие угрозы, а также устанавливает 4
уровня защиты.
Власти определили,
каким образом будут обрабатываться и храниться сведения об интимной
жизни граждан, об их политических взглядах, состоянии здоровья и т.д. Постановление Правительства РФ от 01.11.2012 N 1119
утверждает требования к защите персональных данных при их обработке в
информационных системах. Документ классифицирует сами информационные
системы и возникающие угрозы, а также устанавливает 4 уровня
защищенности сведений.
Согласно постановлению, система защиты персональных
данных включает организационные и (или) технические меры, определенные с
учетом актуальных угроз и применяемых информационных технологий.
Безопасность данных обеспечивает оператор или уполномоченное им лицо.
Многое будет зависеть от того, какого рода данные
обрабатываются в системе. Это могут быть специальные категории
персональных данных (касающиеся расовой, национальной принадлежности,
политических взглядов, религиозных или философских убеждений, состояния
здоровья, интимной жизни). Биометрические персональные данные
характеризуют физиологические и биологические особенности человека, на
основании которых можно установить его личность. Некоторые системы имеют
дело только с общедоступными персональными данными из открытых
источников. Возможны и другие варианты.
Авторы документа разъясняют, какие именно опасности
грозят базам данных. Прежде всего, это несанкционированный доступ и
утечка или искажение информации:
Под актуальными угрозами безопасности персональных данных понимается
совокупность условий и факторов, создающих актуальную опасность
несанкционированного, в том числе случайного, доступа к персональным
данным при их обработке в информационной системе, результатом которого
могут стать уничтожение, изменение, блокирование, копирование,
предоставление, распространение персональных данных, а также иные
неправомерные действия.
Постановление выделяет три типа угроз. Первый и
второй связаны с наличием скрытых (недокументированных) возможностей в
программном обеспечении. Третий тип не связан с подобными особенностями
ПО. При обработке персональных данных в информационных системах
устанавливаются 4 уровня защищенности персональных данных. Так, первый
уровень используется при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и
информационная система обрабатывает либо специальные категории
персональных данных, либо биометрические персональные данные, либо иные
категории персональных данных;
б) для информационной системы актуальны угрозы 2-го
типа и информационная система обрабатывает специальные категории
персональных данных более чем 100000 субъектов персональных данных, не
являющихся сотрудниками оператора.
Второй уровень защищенности необходим при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и
информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 2-го
типа и информационная система обрабатывает специальные категории
персональных данных сотрудников оператора или специальные категории
персональных данных менее чем 100000 субъектов персональных данных, не
являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 2-го
типа и информационная система обрабатывает биометрические персональные
данные;
г) для информационной системы актуальны угрозы 2-го
типа и информационная система обрабатывает общедоступные персональные
данные более чем 100000 субъектов персональных данных, не являющихся
сотрудниками оператора;
д) для информационной системы актуальны угрозы 2-го
типа и информационная система обрабатывает иные категории персональных
данных более чем 100000 субъектов персональных данных, не являющихся
сотрудниками оператора;
е) для информационной системы актуальны угрозы 3-го
типа и информационная система обрабатывает специальные категории
персональных данных более чем 100000 субъектов персональных данных, не
являющихся сотрудниками оператора.
В документе также говорится, какие условия диктуют
применение 3-го и 4-го уровня защищенности. Приводятся также конкретные
требования для обеспечения того или иного уровня. Это может быть
создание списка лиц, допущенных к работе с системой, обеспечение
сохранности носителей, ведение автоматического электронного журнала
безопасности и другие меры.
Постановление правительства пока официально не
опубликовано. Оно начнет действовать по истечении 7 дней после такой
публикации. С этого момента утратит силу ныне действующее Положение об
обеспечении безопасности персональных данных при их обработке в
информационных системах персональных данных. Оно утверждено постановлением Правительства РФ от 17 ноября 2007 г. N 781.
Добавим, что методы и способы защиты информации в
системах персональных данных прописаны в специальном положении. Правовой
акт утвержден приказом ФСТЭК РФ от 05.02.2010 N 58.
Напомним, что персональными данными
считается любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу. Это его фамилия, имя,
отчество, год и место рождения, адрес, абонентский номер, сведения о
профессии, сведения, характеризующие физиологические и биологические
особенности человека, и др.
Для нарушающих положения закона "О персональных данных"
предусматриваются различные санкции. За распространение или утечку
информации, относящейся к частной жизни человека, виновному может
грозить гражданская, административная и уголовная ответственность,
вплоть до лишения свободы на несколько лет.
Нарушение порядка сбора, хранения, использования или
распространения персональных данных влечет предупреждение или наложение
штрафа: на граждан — до пятисот рублей; на должностных лиц - до одной
тысячи; на юридических лиц — до десяти тысяч рублей. Об этом говорится в
статье 13.11
КоАП РФ. За незаконный сбор или распространение сведений о частной
жизни лица, составляющих его личную или семейную тайну, без его согласия
виновные будут привлечены к уголовной ответственности по статье 137
УК РФ. В качестве наказания за это преступление, в частности,
установлен штраф до 200 тысяч рублей либо лишение свободы на срок до 2
лет. Если деяние совершено с использованием служебного положения, штраф
может достигнуть 300 тысяч, а тюремный срок — 4 лет.
Как мы недавно сообщали,
просмотр без особой надобности персональных данных гражданина также
может стать правонарушением. Подобные поправки в законодательство
предложил внести сенатор Руслан Гаттаров.
|