Новые требования к защите персональных данных
Глава правительства подписал новые нормативы по безопасности при обработке персональных данных. Эксперты отмечают, что постановление ставит под угрозу сложившуюся практику использования мобильных устройств сотрудниками госорганов и коммерческих структур.
Премьер-министр Дмитрий Медведев 1 ноября 2012 г. утвердил новые требования к защите персональных данных. Подписанное им одноименное постановление носит №1119.
Одновременно с вступлением в силу требований нового документа утратили силу прежние нормы, описанные в постановлении № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
Новый документ в основе содержит два проекта, подготовленных Федеральной службой безопасности, и опубликованных на ее сайте в сентябре 2012 г.
Интересно, что, вопреки ожиданиям, требования к защите персональных данных сведены в едином документе. На этапе его подготовки имели место два разных документа, один из которых определял уровни защищенности информации, содержащей персональные данные, а второй - требования к их безопасности.
Новое постановление дает определения трем типам угроз для информационных систем, обрабатывающих персональные данные: угрозы 1 типа связаны с наличием недекларированных возможностей в системном ПО, к угрозам 2 типа относятся недокументированные возможности в прикладном ПО, и, наконец, угрозы 3 типа не связаны с недокументированными возможностями ни в системном, ни в прикладном ПО.
Постановление определяет четыре уровня защищенности персональных данных.
Первый (наивысший) из них устанавливается при наличии одного из следующих условий: наличие угроз 1-го типа (системных закладок) при обработке персональных данных либо наличие угроз 2-го типа (закладок в прикладном ПО) при обработке персональных данных более чем 100 тыс. лиц, которые не являются сотрудниками оператора.
Четвертый (минимальный) уровень защищенности применяется при обработке общедоступных персональных данных при актуальности угроз 3-го типа, причем субъектов обработки должно быть менее 100 тыс.
Для соответствия требованиям 4 уровня защищенности информационная система, обрабатывающая персональные данные, должна находиться в помещении с ограниченным доступом; должна быть обеспечена сохранность носителей персональных данных; утвержден перечень лиц которым необходим доступ к персональным данным; и, наконец, использованы сертифицированные средства защиты информации.
Третий уровень защищенности требует назначения особого должностного лица, ответственного за обеспечение безопасности персональных данных. Второй уровень ограничивает доступ к содержанию электронного журнала обработки персданных; а первый уровень защищенности требует создания в организации структурного подразделения, ответственного за безопасность персональных данных.
Эксперт по безопасности Алексей Лукацкий в своем блоге выразил обеспокоенность в отношении перспектив использования мобильных устройств в связи с вновь вступившими в силу правилами обработки персональных данных.
В пункте 13 постановления №1119 подтверждена ранее имевшаяся норма о том, что обработка персональных данных по 4 (минимальному) уровню защищенности требует «режима обеспечения безопасности помещений, в которых размещена информационная система». Согласно букве документа, режим безопасности предполагает, что планшет с персональными данными должен находиться в помещении, куда посторонние не имеют доступа.
Таким образом, пишет эксперт, становится сомнительной законность использования планшетов и мобильных устройств, в частности, сотрудниками ГИБДД, таможенниками или врачами, работающими вне особых особо охраняемых помещений. Под вопросом, замечает Лукацкий, оказывается даже возможность организации точек продаж в, торговых или дилерских центрах, то есть вне офиса организации, где она могла бы обеспечить предписываемый законом уровень защищенности персональных данных.