Постановление Правительства РФ по защите персональных данных №1119 (ПП РФ №1119 ) – один из основополагающих нормативных актов в области защиты персональных данных (ПДн), который содержит конкретные правила и предписания для обеспечения сохранности ПДн граждан. Обозначенные требования распространяются на все компании, которые работают с информацией личного характера.
Угрозы безопасности персональных данных
Согласно ПП РФ №1119 выделяют три класса угроз в отношении персональной информации:
-
Первый сопряжен с присутствием в информационной системе недокументированных или необозначенных возможностей, затрагивающих системное ПО.
-
Второй сопряжен с присутствием в информационной системе недокументированных или необозначенных возможностей, затрагивающих прикладное ПО.
-
Третий сопряжен с присутствием в информационной системе недокументированных или необозначенных возможностей, затрагивающих как системное, так и прикладное ПО.
В качестве недокументированных или необозначенных возможностей рассматриваются функциональные возможности, которые не совпадают с обозначенными в документации или же их использование нарушает конфиденциальность, целостность, доступность обрабатываемой информации.
Какие требования к защите сведений личного характера устанавливает ПП РФ №1119?
-
За безопасность и целостность личных данных в процессе работы с ними отвечает компания, ведущая их обработку. Также это может быть физическое лицо, действующее по указанию оператора, на основании заключенного с ним договора.
-
Подбор средств для исполнения предписаний осуществляется организацией самостоятельно на основании действующей нормативно-правовой базы, утвержденной ФСТЭК и ФСБ России.
-
Определение класса угрозы производится оператором исходя из расчетов и оценки возможного ущерба.
-
первый направлен на специальные виды персональных данных (раса, национальность, религиозные взгляды);
-
второй ориентирован на защиту информации биометрического характера, включающую биологические признаки индивидуумов вроде отпечатков пальцев, строения сетчатки глаза;
-
третий нацелен на защиту личной информации общедоступного вида, которая находится в открытых источниках вроде социальных сетей, веб-ресурсов в интернете, и разрешена владельцем к использованию;
-
четвертый направлен на оставшиеся виды, не попавшие в обозначенный выше перечень.
-
Контроль за соблюдением организацией защитных мер ложится непосредственно на оператора, либо проводится путем привлечения внешних организаций или физических лиц, имеющих лицензию, дающую право вести техническую защиту информационных ресурсов. Контроль надежности и полноты защитных мероприятий не может проводиться реже, чем один раз в три года.
В ходе обработки и хранения персональных данных используют четыре уровня защиты:
Уровни защитных мер согласно ПП РФ 1119
-
Первый уровень защитных мер обеспечивается во всех случаях, когда ведется работа со специальными, биометрическими и иными категориями персональных данных при наличии угроз первого типа или в случаях возникновения рисков второго типа, когда работа ведется со специальными категориями информации.
-
Второй уровень защитных мер требует обеспечения, когда присутствуют угрозы первого типа, а обработке подвергаются общедоступные ПДн. Также справедливо выполнение защитных мер при возникновении рисков второго типа, когда осуществляется обработка оператором специальных категорий данных собственного персонала и иных сведений. Кроме того, защите второго уровня подлежат биометрическая информация, специальные и иные категории ПДн, а также присутствие в системе рисков третьего типа при работе со специальными категориями ПДн.
-
Третий уровень защитных мер обеспечивается во всех случаях возникновения рисков второго типа, когда обрабатываются общедоступные сведения собственных сотрудников организации, общедоступные ПДн. Кроме того, в случае присутствия угроз третьего типа требуется обеспечение информационной безопасности при работе с биометрическими, специальными ПДн, а также иными данными.
-
Четвертый уровень защитных мер обеспечивается во всех случаях возникновения рисков третьего типа. В частности, при работе с общедоступными и иными персональными сведениями независимо от их происхождения.
ПП РФ №1119 указывает на необходимость повышенных мер защиты сведений личного характера. Эти меры работают только при условии применения комплексного подхода, который включает:
-
создание специального структурного подразделения в организации, занимающегося обеспечением безопасности информационных ресурсов;
-
классификацию информационных ресурсов и разграничение прав доступа пользователей к персональным данным;
-
организация непрерывного мониторинга и контроля движения персональных данных. Этот пункт предполагает внедрение специальных технических средств, таких как DLP-системы.