Постановление Правительства РФ по защите персональных данных №1119 (ПП РФ №1119 ) – один из основополагающих нормативных актов в области защиты персональных данных (ПДн), который содержит конкретные правила и предписания для обеспечения сохранности ПДн граждан. Обозначенные требования распространяются на все компании, которые работают с информацией личного характера.

Угрозы безопасности персональных данных

Согласно ПП РФ №1119 выделяют три класса угроз в отношении персональной информации:

  1. Первый сопряжен с присутствием в информационной системе недокументированных или необозначенных возможностей, затрагивающих системное ПО.

  2. Второй сопряжен с присутствием в информационной системе недокументированных или необозначенных возможностей, затрагивающих прикладное ПО.

  3. Третий сопряжен с присутствием в информационной системе недокументированных или необозначенных возможностей, затрагивающих как системное, так и прикладное ПО.

В качестве недокументированных или необозначенных возможностей рассматриваются функциональные возможности, которые не совпадают с обозначенными в документации или же их использование нарушает конфиденциальность, целостность, доступность обрабатываемой информации.

Какие требования к защите сведений личного характера устанавливает ПП РФ №1119?

  1. За безопасность и целостность личных данных в процессе работы с ними отвечает компания, ведущая их обработку. Также это может быть физическое лицо, действующее по указанию оператора, на основании заключенного с ним договора.

  2. Подбор средств для исполнения предписаний осуществляется организацией самостоятельно на основании действующей нормативно-правовой базы, утвержденной ФСТЭК и ФСБ России.

  3. Определение класса угрозы производится оператором исходя из расчетов и оценки возможного ущерба.

  4. В ходе обработки и хранения персональных данных используют четыре уровня защиты:

    • первый направлен на специальные виды персональных данных (раса, национальность, религиозные взгляды);

    • второй ориентирован на защиту информации биометрического характера, включающую биологические признаки индивидуумов вроде отпечатков пальцев, строения сетчатки глаза;

    • третий нацелен на защиту личной информации общедоступного вида, которая находится в открытых источниках вроде социальных сетей, веб-ресурсов в интернете, и разрешена владельцем к использованию;

    • четвертый направлен на оставшиеся виды, не попавшие в обозначенный выше перечень.

  5. Контроль за соблюдением организацией защитных мер ложится непосредственно на оператора, либо проводится путем привлечения внешних организаций или физических лиц, имеющих лицензию, дающую право вести техническую защиту информационных ресурсов. Контроль надежности и полноты защитных мероприятий не может проводиться реже, чем один раз в три года.

Уровни защитных мер согласно ПП РФ 1119

  1. Первый уровень защитных мер обеспечивается во всех случаях, когда ведется работа со специальными, биометрическими и иными категориями персональных данных при наличии угроз первого типа или в случаях возникновения рисков второго типа, когда работа ведется со специальными категориями информации.

  2. Второй уровень защитных мер требует обеспечения, когда присутствуют угрозы первого типа, а обработке подвергаются общедоступные ПДн. Также справедливо выполнение защитных мер при возникновении рисков второго типа, когда осуществляется обработка оператором специальных категорий данных собственного персонала и иных сведений. Кроме того, защите второго уровня подлежат биометрическая информация, специальные и иные категории ПДн, а также присутствие в системе рисков третьего типа при работе со специальными категориями ПДн.

  3. Третий уровень защитных мер обеспечивается во всех случаях возникновения рисков второго типа, когда обрабатываются общедоступные сведения собственных сотрудников организации, общедоступные ПДн. Кроме того, в случае присутствия угроз третьего типа требуется обеспечение информационной безопасности при работе с биометрическими, специальными ПДн, а также иными данными.

  4. Четвертый уровень защитных мер обеспечивается во всех случаях возникновения рисков третьего типа. В частности, при работе с общедоступными и иными персональными сведениями независимо от их происхождения.

ПП РФ №1119 указывает на необходимость повышенных мер защиты сведений личного характера. Эти меры работают только при условии применения комплексного подхода, который включает:

  • создание специального структурного подразделения в организации, занимающегося обеспечением безопасности информационных ресурсов;

  • классификацию информационных ресурсов и разграничение прав доступа пользователей к персональным данным;

  • организация непрерывного мониторинга и контроля движения персональных данных. Этот пункт предполагает внедрение специальных технических средств, таких как DLP-системы.