Комментарии законодательства

Правительство РФ утвердило требования к защите персональных данных при их обработке в информационных системах персональных данных

Документ

Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

Комментарий

Правительство РФ утвердило перечень требований к защите персональных данных в связи с изменениями, внесенными в Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных". Требования касаются защиты персональных данных при их обработке в информационных системах персональных данных (далее – информационные системы). Кроме того, утверждены уровни защищенности таких данных.

Согласно принятому постановлению система защиты персональных данных должна включать в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

За безопасность персональных данных отвечает оператор системы, обрабатывающий такие данные, или другое уполномоченное лицо. Он же осуществляет выбор средств защиты информации.

В Постановлении дано определение актуальных угроз безопасности персональных данных, а сами угрозы подразделены на типы. Так, под актуальными угрозами следует понимать совокупность условий и факторов, создающих актуальную опасность несанкционированного (в том числе случайного) доступа к персональным данным при их обработке в информационной системе, в результате которых может последовать уничтожение, изменение, блокирование, копирование предоставление или распространение персональных данных, а также другие неправомерные действия.

Определение типа угроз безопасности персональных данных производится оператором с учетом оценки возможного вреда.

При обработке персональных данных установлено 4 уровня защищенности персональных данных, а также приведены условия, наличие которых влечет необходимость применения определенного уровня защищенности. Также приводится перечень требований, которые необходимо выполнить для обеспечения каждого из уровней защищенности.

Контроль за выполнением утвержденных Постановлением требований возложен на оператора или уполномоченное лицо и осуществляется ими самостоятельно или с привлечением на договорной основе юридических лиц или предпринимателей, имеющих лицензию на техническую защиту конфиденциальной информации.

Контроль должен осуществляться не реже одного раза в три года в сроки, определяемые оператором или уполномоченным лицом.