2-го июня 2013 г. вступил в силу Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» («Приказ»).

Правительством РФ ранее было принято Постановление от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», которым, в частности, определены уровни защищенности персональных данных («ПД») при их обработке в информационных системах в зависимости от характера угроз, объема и значимости обрабатываемых сведений.

Приказом установлены состав и содержание организационных и технических мер, необходимых для выполнения требований, установленных Постановлением Правительства РФ № 1119.

Приказом определен детальный состав мер по обеспечению безопасности ПД в зависимости от уровня защищенности ПД. Введены 15 категорий мер, 8 из которых обязательны вне зависимости от уровня защищенности ПД, а именно:

  •  идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • регистрация событий безопасности;
  • антивирусная защита;
  • контроль (анализ) защищенности ПД;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, ее средств, систем связи и передачи данных.

Среди наиболее существенных новшеств соответствующих мер можно отметить защиту среды виртуализации и контроль установки обновлений программного обеспечения, которые ранее не предусматривались.

Одним из положительных нововведений Приказа является то, что оператор в случае невозможности технической реализации отдельных мер или с учетом экономической целесообразности вправе разрабатывать иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПД. В этом случае в ходе разработки системы защиты ПД должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности ПД.

В соответствии с Приказом работы по обеспечению безопасности ПД при их обработке в информационной системе и оценка эффективности мер по защите ПД в информационной системе может проводиться оператором самостоятельно или с привлечением третьего лица. Если для указанных целей привлекается третье лицо, оно в обязательном порядке должно иметь лицензию на деятельность по технической защите конфиденциальной информации.

Со вступлением в силу Приказа утрачивает силу Приказ ФСТЭК России от 05.02.2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».

Выводы и рекомендации

Мы рекомендуем в самое ближайшее время провести оценку соответствия мер, принятых в компании для защиты ПД при их обработке в информационных системах, положениям Приказа и обеспечить выполнение установленных Приказом требований.

Неисполнение установленных требований к защите ПД может повлечь административную ответственность организации и/или ее должностных лиц. Отметим, что в соответствии с законопроектом, разработанным Роскомнадзором (в настоящее время в Государственную Думу РФ еще не внесен), планируется значительно увеличить административные штрафы за нарушение порядка сбора, хранения, использования, распространения ПД до 30 – 500 тыс. рублей для юридических лиц (в настоящее время максимальный размер административного штрафа составляет 10 тыс. рублей), а по отдельным нарушениям ввести для предпринимателей и компаний оборотные штрафы в размере 0,5-2 процента от совокупного дохода за прошлый год.

Помощь консультантов

Специалисты компании «Пепеляев Групп» обладают значительным опытом консультирования по вопросам соблюдения законодательства о ПД и могут оказать любую необходимую помощь по организационным, правовым, а также техническим вопросам приведении деятельности компаний- операторов в соответствие с требованиями законодательства о ПД.

ООО «Пепеляев Групп» имеет лицензии на осуществление деятельности по технической защите конфиденциальной информации и ряд лицензий ФСТЭК и ФСБ в области защиты информации, что позволяет реализовывать любые комплексные проекты в области защиты ПД.