Требования к защите персональных данных 1119

Вся информация на в статье на тему: "Требования к защите персональных данных 1119". Полное описание собранное из разных авторитетных источников. Если возникнут вопросы, вы всегда можете обратиться к дежурному консультанту.

Содержание

Требования к защите персональных данных 1119

Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Комментарий

Правительство РФ утвердило перечень требований к защите персональных данных в связи с изменениями, внесенными в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Требования касаются защиты персональных данных при их обработке в информационных системах персональных данных (далее – информационные системы). Кроме того, утверждены уровни защищенности таких данных.

Согласно принятому постановлению система защиты персональных данных должна включать в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

За безопасность персональных данных отвечает оператор системы, обрабатывающий такие данные, или другое уполномоченное лицо. Он же осуществляет выбор средств защиты информации.

В Постановлении дано определение актуальных угроз безопасности персональных данных, а сами угрозы подразделены на типы. Так, под актуальными угрозами следует понимать совокупность условий и факторов, создающих актуальную опасность несанкционированного (в том числе случайного) доступа к персональным данным при их обработке в информационной системе, в результате которых может последовать уничтожение, изменение, блокирование, копирование предоставление или распространение персональных данных, а также другие неправомерные действия.

Определение типа угроз безопасности персональных данных производится оператором с учетом оценки возможного вреда.

При обработке персональных данных установлено 4 уровня защищенности персональных данных, а также приведены условия, наличие которых влечет необходимость применения определенного уровня защищенности. Также приводится перечень требований, которые необходимо выполнить для обеспечения каждого из уровней защищенности.

Контроль за выполнением утвержденных Постановлением требований возложен на оператора или уполномоченное лицо и осуществляется ими самостоятельно или с привлечением на договорной основе юридических лиц или предпринимателей, имеющих лицензию на техническую защиту конфиденциальной информации.

Контроль должен осуществляться не реже одного раза в три года в сроки, определяемые оператором или уполномоченным лицом.

Источник: http://its.1c.ru/db/content/newscomm/src/457410.htm

Анализ Постановления №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Дата публикации: 7 Ноября 2012

1 ноября 2012 года Дмитрий Медведев подписал Постановление Правительства №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», отменяющее действовавшее до этого ПП-781. Постановлением устанавливаются четыре уровня защищённости персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищённости производится в зависимости от вида персональных данных, который обрабатывает информационная система (специальные, биометрические, общедоступные, иные), типа актуальных угроз (1-й, 2-й, 3-й), количества обрабатываемых информационной системой субъектов персональных данных и от того, обрабатываются ли персональные данные о сотрудниках оператора.

Постановлением также устанавливается требование использования средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Эксперт Комиссии РАЭК по информационной безопасности и киберпреступности Алексей Лукацкий проанализировал отличия ПП-1119 от ПП-781. По его словам, новое постановление, при значительном количестве изменений (убрано больше половины всех требований, новых требований добавлено 5, 9 требований осталось без изменений, 3 требования ушло на уровень ФЗ-152), принципиально не повлияет на практику обработки персональных данных операторами. Функции ФСБ и ФСТЭК также остались без изменений. В целом эксперт оценивает Постановление скорее положительно в сравнении с предыдущей версией норматива. Однако ряд системных недостатков не были устранены. В частности, требование наличия контролируемой зоны (т.е. зоны, куда запрещен доступ посторонних) при обработке ПДн остался и остался на 4-м, минимальном уровне защищенности. Таким образом, применение мобильных технологий для обработки персданных вне помещений с контролируемым доступом теперь запрещено.

Источник: http://raec.ru/live/analytics/9905/

Защита персональных данных — из 2011 в 2013 или изменения длиной в два года

Два года назад Федеральным законом от 25.07.2011 № 261-ФЗ были внесены существенные изменения в принципы организации защиты персональных данных (далее — ПДн). Однако во внесенных изменениях были заложены основные принципы, о которых было рассказано в статье «Защита персональных данных — изменения 2011» — см. /document.jsp? >

Определены новые требования к защите ПДн

В настоящее время основными подзаконными актами, определяющими требования к организации защиты ПДн, являются Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — Постановление № 1119), пришедшее на смену Постановлению Правительства РФ от 17.11.2007 № 781, и приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по безопасности персональных данных при их обработке в информационных системах персональных данных» (далее — Приказ ФСТЭК России № 21). Приказ был зарегистрирован в Минюсте России 14.05.2013 (№ 28375) и пришел на смену приказу ФСТЭК России от 05.02.2010 № 58. Проанализируем внесенные изменения.

Читайте так же:  Центр возмещения ущерба

Типы угрозы

Основной целью при организации защиты персональных данных является нейтрализация актуальных угроз в информационной системе (далее — ИС), определенных в соответствии с частью 5 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).

Напомним, что актуальные угрозы определяются с учетом содержания персональных данных, характера и способов их обработки. В соответствии с пунктом 6 Постановления № 1119: «Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия».

В отношении безопасности персональных данных различают угрозы трех типов:

— «Угрозы 1 типа. связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении.

— Угрозы 2 типа. связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении.

— Угрозы 3 типа. не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении. »

Справка

Недекларированные возможности — функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Реализацией недекларированных возможностей, в частности, являются программные закладки (РД «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999)).

Определение типа угроз ПДн, актуальных для информационных систем персональных данных (далее — ИСПДн), производится оператором с учетом оценки возможного вреда, который может быть причинен субъектам ПДн в случае нарушения требований Закона № 152-ФЗ, соотношением указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области ПДн.

Кроме установленных Постановлением № 1119 типов угроз, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке ПДн в ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки (ч. 6 ст. 19 Закона № 152-ФЗ).

Уровни защищенности

Постановлением Правительства РФ № 1119 установлены 4 уровня защищенности ПДн, которые должны быть обеспечены в зависимости от типа угрозы, категории обрабатываемых данных и количества ПДн. Рассмотрим возможные варианты от первого уровня, предъявляющего наиболее серьезные требования к защите ПДн, к наиболее низкому, четвертому, где требования минимальны (см. таблицу 1).

Таблица 1. Уровни защищенности ПДн в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119

Категория обрабатываемых ПДн

Количество обрабатываемых данных

Требования по защите (Постановление № 1119)

иные категории ПДН

специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн

специальные категории ПДн сотрудников организации

специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн

менее чем 100000

общедоступные ПДн, не являющихся сотрудниками оператора ПДн

иные категории ПДн, не являющихся сотрудниками оператора ПДн

специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн

общедоступные ПДн сотрудников оператора

общедоступные ПДн, не являющихся сотрудниками оператора ПДн

иные категории ПДн сотрудников оператора

иные категории ПДн, не являющихся сотрудниками оператора ПДн

специальные категории ПДн сотрудников организации

специальные категории субъектов ПДн, не являющихся сотрудниками оператора ПДн

менее чем 100000

иные категории ПДн, не являющихся сотрудниками оператора ПДн

иные категории персональных данных сотрудников оператора

иные категории ПДн, не являющихся сотрудниками оператора ПДн

Справка

Специальные категории персональных данных — данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн.

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн.

Общедоступные персональные данные — данные, полученные из общедоступных источников ПДн (в том числе, справочников, адресных книг). В соответствии с пунктом 1 статьи 8 Закона № 152-ФЗ в общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Проанализировав приведенную таблицу 1 можно предположить, что если оператором применяются программные средства (как системные, так и прикладные), прошедшие процедуру соответствия на отсутствие недекларированных возможностей, то тип угрозы будет 3, а, соответственно, необходимый уровень защищенности — 3-го или 4-го уровня, что будет зависеть от объема и категории обрабатываемой информации.

Как отмечалось выше, требования по защите ПДн зависят от уровня защищенности. Постановлением № 1119 установлены следующие требования (см. таблицу 2).

Таблица 2. Требования по защите ПДн в зависимости от уровня защищенности в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119

Требование по защите ПДн

1

2

3

4

Организация режима обеспечения безопасности помещений, в которых размещена ИС, препятствующая возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения

Обеспечение сохранности носителей персональных данных

Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в ИС, необходим для выполнения ими служебных (трудовых) обязанностей

Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз

Читайте так же:  Продление и восстановление пропущенных процессуальных сроков

Назначение должностного лица (работников), ответственного за обеспечение безопасности ПДн в ИС

Ограничение доступа к содержанию электронного журнала сообщений исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в данном журнале, необходимы для выполнения служебных (трудовых) обязанностей

Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника по доступа к ПДн, содержащимся в ИС

Создание структурного подразделения, ответственного за обеспечение безопасности ПДн в ИС, либо возложение на одно из структурных подразделений по обеспечению такой безопасности.

Конкретные требования к выбору средств защиты информации для системы защиты ПДн должны осуществляться оператором в соответствии с Приказом ФСТЭК России № 21.

Состав и содержание мер по обеспечению безопасности ПДн

Перечень мер по обеспечению безопасности ПДн, реализуемых в рамках системы защиты ПДн с учетом актуальных угроз безопасности, поименован в пункте 8 Приказа ФСТЭК России № 21.

Отметим некоторые из них:

  • идентификация и аутентификация субъектов доступа (пользователей) и объектов доступа (данные);
  • управление доступом субъектов доступа к объектам доступа;
  • регистрация событий безопасности;
  • антивирусная защита;
  • контроль (анализ) защищенности ПДн и т. п.

В приложении к Приказу ФСТЭК России № 21 приведен состав и содержание организационных и технических мер по обеспечению безопасности ПДн, необходимых для обеспечения каждого из уровней защищенности ПДн.

Соответственно, после установления уровня защищенности, необходимо определить базовый набор мер по обеспечению безопасности ПДн. Например, для минимального 4-го уровня такой набор состоит более чем из 30 мер.

Далее данный базовый набор мер подлежит адаптации с учетом структурно-функциональных характеристике ИС (в том числе, возможно исключение мер, непосредственно не связанных с информационными технологиями, не используемыми в ИС, или структурно-функциональными характеристиками, не свойственными ИС), утонению и дополнению мерами, обеспечивающими выполнение требований к защите персональных данных, установленных ими нормативными правовыми актами в области обеспечения безопасности ПДн и защиты информации.

Таким образом, в результате, основываясь на требованиях, предусмотренных в Приказе ФСТЭК России № 21, должен быть получен комплекс мер, необходимый и достаточный для защиты ПДн конкретного оператора в соответствии с требованиями действующего законодательства.

Следует отметить, что в случае изменения категории обрабатываемых данных, структурно-функциональных характеристик ИС разработанный комплекс мер подлежит пересмотру.

Также не следует забывать об оценке эффективности реализованных в рамках системы защиты ПДн мер по обеспечению безопасности ПДн, которая может проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Такая оценка должна проводиться не реже одного раза в три года.

О сертификации ЗПК «1С:Предприятие, версия 8.2z»

В целях соответствия требованиям законодательства РФ о защите персональных данных фирмой «1С» в 2010 году была проведена сертификация Защищенного программного комплекса (далее — ЗПК) «1С:Предприятие, версия 8.2z». Сертификатом соответствия № 2137 подтверждено, что ЗПК «1С:Предприятие, версия 8.2z» является программным средством общего назначения со встроенными средствами защиты информации от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну. Первоначальный срок действия сертификата установлен с 20.07.2010 по 20.07.2013.

В мае-июле 2013 года были проведены мероприятия по продлению действия ранее полученного сертификата соответствия. Действие сертификата № 2137 продлено до 20 июля 2016 года.

Полученным сертификатом № 2137 подтверждено, что ЗПК «1С:Предприятие, версия 8.2z» соответствует требованиям руководящих документов:

  • «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) — по 5 классу защищенности;
  • «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по 4 уровню контроля.

Ознакомиться с сертификатом можно здесь>>.

Обращаем внимание пользователей ЗПК «1С:Предприятие, версия 8.2z», что в новом сертификате исключена имевшая место ранее фраза: «а также для защиты информации в информационных системах персональных данных до 1 класса включительно». Данное исключение связано с отсутствием в настоящее время в действующем законодательстве по защите персональных данных понятия «класс информационной системы персональных данных».

Пунктом 12 Приказа ФСТЭК России № 21 предусмотрено требование об использовании в информационных системах персональных данных сертифицированных по требованиям безопасности средств защиты информации средств вычислительной техники не ниже 5 класса защищенности (для обеспечения 1-3 уровня защищенности) и не ниже 6 класса защищенности (для обеспечения 4 уровня защищенности). Таким образом, в сертификате подтверждено, что ЗПК «1С:Предприятие, версия 8.2z» может использоваться при построении ИСПДн для любого уровня защищенности.

Дополнительно считаем необходимым отметить следующее:

Источник: http://buh.ru/articles/documents/17807/

Постановление Правительства РФ от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

Видео (кликните для воспроизведения).

ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, [email protected]

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), [email protected]

Читайте так же:  Срок восстановления птс

Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), [email protected] Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Источник: http://www.garant.ru/hotlaw/federal/427853/

Уровни защищенности персональных данных вместо классов

Постановление Правительства РФ №1119 от 01.11.2012 г. похоронило уже ставшими всем привычными классы информационных систем персональных данных.

В место классов, согласно новому постановлению, устанавливаются четыре уровня защищённости персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищённости производится в зависимости от типа персональных данных, который обрабатывает информационная система, типа актуальных угроз, количества обрабатываемых информационной системой субъектов персональных данных и от того, персональные данные какого контингента обрабатываются.

Информационные системы персональных данных (ИСПДн), согласно 5 пункту Постановления №1119 подразделяются на 4 группы:

    Cпециальные ИСПДн

если в ИСПДн обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

если в ИСПДн обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных;

если в ИСПДн обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»;

если в ИСПДн обрабатываются персональные данные субъектов персональных данных, не представленные в трех предыдущих группах.

По форме отношений между вашей организацией и субъектами, обработка подразделяется на 2 вида:

  • обработка персональных данных сотрудников (субъектов, с которыми ваша организация связана трудовыми отношениями);
  • обработка персональных данных субъектов, не являющихся сотрудниками вашей организации.

По количеству субъектов, ПДн которых обрабатываются, Постановлением №1119 определены только 2 категории:

  • менее 100 000 субъектов;
  • более 100 000 субъектов;

И наконец, типы актуальных угроз:

  • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
  • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
  • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

К ак установить тип актуальных угроз не регламентировано. Требования ПП-1119 не предлагают никаких методов и способов их нейтрализации. Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно — придется обращаться в вышестоящую организацию или к консультанту. Проще всего пойти по пути наименьшего сопротивления, т.е. определить тип актуальной угрозы 3 типа, и забыть про недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, но это необходимо будет обосновать. Весь вопрос как?, возвращаясь к началу абзаца.
Тема актуальности угроз информационных систем персональных данных очень важна, ведь от правильно описанных угроз зависит насколько грамотно будет защищена система, а также сколько будет стоить защита для оператора персональных данных.

Е сли Вы определились с исходными данными для конкретной ИСПДн, в том числе типом актуальных угроз, то можете определить её уровень защищенности. Для удобства определения уровня защищенности воспользуйтесь следующей таблицей, которая сделана на основе ПП-1119:

Тип актуальных угроз

Нет > 100 000 УЗ-1 УЗ-1 УЗ-2 Нет 100 000 УЗ-1 УЗ-2 УЗ-3 Нет 100 000 УЗ-2 УЗ-2 УЗ-4 Нет В зависимости от выбранного уровня защищенности ПДн, ПП-1119 определены ряд требований по защите персональных данных, которые организуются и проводятся оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Контроль за выполнением требований должен проводиться не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

О пределившись с требованиями по защите персональных данных в соответствии с ПП-1119, можно переходить к выбору организационных и технических мер по обеспечению безопасности персональных данных, исходя из требований Приказа ФСТЭК России №21 от 18.02.2013г., направленных на нейтрализацию актуальных угроз безопасности персональных данных.

Ч то делать со средствами защиты информации, сетификаты на которые были выданы ранее для определённых классов ИСПДн?

Источник: http://www.rskb48.ru/stati/urovni.html

Постановление Правительства № 1119 по полочкам

Руки, давно тянувшиеся к клавиатуре по поводу нового шедевра нормативного регулирования, уже отбиты до костей. Больше сдерживать себя и терпеть не удается. Придется написать. Тем более, что сегодня Постановление от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которое отменяет Постановление от 17.11.2007 № 781вступает в силу. Семь дней со дня опубликования истекают.

Если честно, реакция коллег из профессионального сообщества на новое постановление, фактически определяющего систему построения технической безопасности обработки персональных данных в информационных системах, меня не просто удивила, а, скорее, озадачила. Части, и немалой, оно понравилось, поскольку не содержит, по их мнению, ничего принципиально нового, и гайки дальше не закручивает, а количество требований по сравнению с ПП-781 даже уменьшается. Другая часть коллег документ ругает, но очень обще, в основном за отсутствие конкретики.

У меня о требованиях сложилось несколько иное мнение, я кратко высказывал его на сегодняшнем вебинаре, проводившемся нашим агентством совместно с компанией «Код Безопасности», и количество вопросов, поступивших по этому поводу, окончательно подтолкнуло меня к написанию этого поста.

Для того, чтобы систематизировать свое видение, я придумал несколько полочек, по которым свою оценку документа и разложу. Извините, букв будет много. Очень. Слова тщательно подбирал, так что категория читающих может быть и 0+.

Читайте так же:  Закон о нарушении трудовых прав

Полочка первая. Соответствие закону. Выпускв свет ПП-1119 является прямым требованием пунктов 1 и 2 части 3 ст.19 новой редакции 152-ФЗ «О персональных данных». Именно это позволяет мне очень резко оценить состояние дел на этой полочке. Постановление Правительства закону не соответствует. Закон предписывал определить уровни защищенности и требования к ним в зависимости от пяти факторов:

· возможного вреда субъекту персональных данных,

· объема обрабатываемых персональных данных,

· содержания обрабатываемых персональных данных,

· вида деятельности, при осуществлении которого обрабатываются персональные данные,

· актуальности угроз безопасности персональных данных.

Виды деятельности, и, что особенно важно, вред субъекту в принятом документе вообще отсутствуют как квалифицирующие признаки. В п.7 Требований оператору «совсем не гуманно», по другому сказать не могу, предлагается самостоятельно определить тип угроз безопасности персональных данных, актуальных для информационной системы, с учетом оценки возможного вреда, руководствуясь несуществующими пока документами ФСБ и ФСТЭК. Т.е. зав.детсадом или начальник отдела автоматизации трубопрокатного завода (поскольку заниматься подобными проблемами в подобных организациях больше просто некому) будут оценивать вред от разглашения данных персонала, воспитуемых, посетителей и их родственников. При полном отсутствии в стране методических наработок по этой проблеме. Тот, кто хоть немного сталкивался с подобными вопросами, знает, что проблема определения размера вреда при нарушении гражданских прав является одной из самых сложных в юриспруденции и судопроизводстве. Но, видимо, вспомнив классический постулат о возможностях каждой кухарки, авторы решили, что решить проблему можно краудсорсингом. Операторов-то по оценке Роскомнадзора – порядка семи миллионов. Глядишь, чего и наизобретают. Классический пример перекладывания проблемы с одной головы на другую, сами знаете, каких.

С видами деятельности тоже засада. Принимая во внимание, что новая редакция закона не оставляет места для отраслевых стандартов работы с персональными данными, учитывать эти самые виды придется одним только способом – придумывая для них дополнительные к изобретенным ФСБ и ФСТЭК угрозы безопасности, что, собственно, и прописано в частях 5 и 6 той же статьи 19 закона. Точка. Только определить новые угрозы, а не предусмотреть какие-либо послабления, подобные тем, что в свое время согласовал со ФСТЭКом Минздрав в своих методических документах.

Полочка вторая. Методология. Полочка самая …плохо повешенная. Так как в методологии – самые главные, ключевые проблемы документа. Объявляя главными угрозами, неминуемо ведущими к установлению высших уровней защищенности (см. таблицу 1), недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, Требования не предлагают вообще никаких методов и способов их нейтрализации. Ибо такими способами может быть только проверка этого самого ПО на отсутствие закладок и прочих вредных привычек. А этого от операторов, во всяком случае в ПП-1119 никто не требует.

Тип ИСПДн

Сотрудники оператора

Количество субъектов

Тип актуальных угроз

1

2

3

Лечиться от логических бомб, бэк-доров и иной нечисти предлагают старыми проверенными методами — клистиром с патефонными иголками и гипсованием непереломанных конечностей. См. таблицу 2.

Требования

Уровни

защищенности

1

2

3

4

Режим обеспечения безопасности помещений, где обрабатываются персональные данных

Сохранность носителей персональных данные

Перечень лиц, допущенных к персональным данным

СЗИ, прошедшие процедуру оценки соответствия

Должностное лицо, ответственное за обеспечение безопасности персональных данных в ИСПДн

Ограничение доступа к содержанию электронного журнала сообщений

Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным

Структурное подразделение, ответственное за обеспечение безопасности персональных данных

Каким образом использование сертифицированных межсетевых экранов и назначение ответственного подразделения (или ответственного лица) может помочь предотвратить воздействие операционной системы на обрабатываемые данные знают, видимо, только авторы.

Полочка третья. Терминология. А это – самая загадочная часть документа. Откуда появились «сотрудники оператора» и почему они не работники, правовой статус которых четко описан Трудовым кодексом – вопрос простой и очевидный. А вот что такое «электронный журнал сообщений» (п.15) и чем он отличается от «электронного журнала безопасности» (п.16), если отличается вообще – тайна есть великая. Я догадываюсь, что речь идет о логах. Логах чего? ОС? БД? Приклада? СЗИ? Всего вместе или чего-то в отдельности? Вопросы без ответов.

Постановление вводит отсутствующее в законе понятие информационной системы, обрабатывающей общедоступные персональные данные, и считает таковыми полученные только из общедоступных источников персональных данных, созданных в соответствии со ст.8 152-ФЗ.

А если они получены по-другому, например, если это сведения, подлежащие опубликованию и обязательному раскрытию, как сведения из ЕГРЮЛ и ЕГРИП, являющиеся общедоступными в соответствии с Федеральным законом о государственной регистрации юрлиц и индивидуальных предпринимателей. Или сведения об аффилированных лицах эмитента ценных бумаг. Или персональные данные кандидатов в депутаты, подлежащие опубликованию. Как быть с ними? Опять вопрос, не имеющий ответа.

Наконец, оценка соответствия. Термин, не имеющий пояснений применительно к СЗИ ни в одном акте, кроме закрытого Постановления № 330, продолжает кочевать по нормативной базе. Но даже если это Постановление оператор видел, понять, каким образом осуществляется оценка соответствия в ходе государственного контроля и надзора, ему не дано. И оценить последствия ожидания прихода контролера и его поведения при виде несертифицированных средств тоже. Ну, и не будем забывать, что в новой редакции закона нормативные правовые акты, касающиеся обработки персональных данных, подлежат официальному опубликованию.

Источник: http://club.cnews.ru/blogs/entry/postanovlenie_pravitelstva_

Есть ли какие-то требования к паролю по закону о персональных данных?

В соответствии с требованиями ст.19 ФЗ «О персональных данных» Правительство выпустило Постановление №1119, в котором в зависимости от объема обрабатываемых данных определяется требуемый уровень защиты (цифра от 1 до 4).

Читайте так же:  Срок действия приказа на право подписи

ФСТЭК РФ в соответствии с ФЗ и ПП-1119 выпустило 2 приказа : для гос.учреждений — Приказ №17, для коммерческих учреждений — Приказ №21, в которых указывается какие меры защиты должны быть внедрены, и если это принципиально, то их характеристики. Парольная защита указана для всех 4 уровней защищенности, однако, параметры этой парольной защиты не указаны. Таким образом по факту они могут быть выбраны Вами любыми, если Вы в случае проверки докажете невозможности их взлома полным перебором за время его (пароля) жизни (иначе это будет противоречить тому же Приказу №21).

Дальше Вы должны отталкиваться от скорости перебора и вычислять по ней требуемую информационную емкость (энтропию) пароля. Явных требований к набору символов энтропия не задает, но увеличивая наборы, Вы фактически позволяете сделать пароль короче (при той же информационной емкости). И очень советую внедрять в системе таймаут (например, 2 минуты) после 5-10 неверных попыток подбора пароля. Иначе требуемая минимальтная длина у Вас выйдет просто нереальная для запоминания рядовому пользователю.

Источник: http://qna.habr.com/q/118019

Постановление правительства №1119

Здесь можно познакомиться с Постановление правительства №1119 от 01.11.2012 года

Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных

В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые требования к защите персональных данных при их обработке в информационных системах персональных данных.

2. Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2007, № 48, ст. 6001).

Источник: http://school10tula.ru/letnij-otdykh/postanovlenie-pravitelstva-1119.html

Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных

Правительством РФ установлены требования к защите персональных данных при их обработке в информационных системах, определяющие классификацию информационных систем по видам обрабатываемых данных, классификацию угроз для разных видов систем, а также необходимые уровни защищенности для каждого из видов таких систем

Определено, что безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и таким лицом должен предусматривать обязанность данного лица обеспечить безопасность персональных данных при их обработке.

Выбор средств защиты информации для системы осуществляется оператором в соответствии с нормативными правовыми актами ФСБ России и ФСТЭК России.

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Определение типа угроз безопасности персональных данных, актуальных для системы, производится оператором с учетом оценки возможного вреда и в соответствии с нормативными правовыми актами уполномоченных органов.

При обработке персональных данных в системах устанавливаются 4 уровня защищенности в зависимости от категории данных и количества субъектов, данные которых содержит система.

Источник: http://www.audit-it.ru/law/personnel/508658.html

О положениях постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

Учитывая, что ПП-1119 было принято в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. 152-ФЗ «О персональных данных» (далее — 152-ФЗ) в той редакции, которая распространяется на правоотношения, возникшие с 1 июля 2011 года, требования ПП-1119 обязательны к исполнению для информационных систем персональных данных (далее – ИСПДн ), созданных с 1 июля 2011 года. В отношении ИСПДн , созданных до 1 июля 2011 года, применимы как требования ПП-1119, так и требования ПП-781.

Новым ПП-1119 установлены:

В соответствии с ПП-1119 оператору или лицу, осуществляющему обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора, необходимо создать систему защиты персональных данных, обеспечивающую безопасность персональных данных, включающую организационные и (или) технические меры, которые определяются с учетом:

В ПП-1119 установлены как новые требования к операторам, так и требования, ранее закрепленные в других нормативных правовых актах:

1. Необходимо включить в договор между оператором и уполномоченным лицом обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в ИСПДн 1) .

5. Необходимо разработать документ, на основании которого можно оценить возможный вред субъектам персональных данных в случае нарушения 152-ФЗ 4) .

6. Необходимо установить количество субъектов, персональные данные которых обрабатываются в каждой ИСПДн (больше 100 000 или меньше 100 000).

7. Необходимо определить, какой уровень защищенности персональных данных из четырех возможных необходимо обеспечивать при их обработке в ИСПДн (см.Таблицу 1) на основании:

8. Выполнить требования, предусмотренные в ПП-1119, для обеспечения соответствующего уровня защищенности персональных данных (см. Таблицу 2).

9. Оператору (уполномоченному лицу) необходимо не реже 1 раза в 3 года организовывать и проводить контроль за выполнением указанных требований (самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Видео (кликните для воспроизведения).

Источник: http://sps-ib.ru/analitika:pp1119

Требования к защите персональных данных 1119
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here