1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
3.1) применением для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.
5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.
7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.
8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в государственных информационных системах персональных данных, а также в эксплуатируемых в государственных органах Российской Федерации иных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в пределах его полномочий. Указанные контроль и надзор также осуществляются федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах его полномочий без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
9. Решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, может быть наделен полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных. Решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, также может быть наделен указанными полномочиями без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
12. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
13. Указанная в части 12 настоящей статьи информация (за исключением информации, составляющей государственную тайну) передается федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в уполномоченный орган по защите прав субъектов персональных данных.
14. Порядок передачи информации в соответствии с частью 13 настоящей статьи устанавливается совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных.
Комментарии к статье 19 152-ФЗ О персональных данных:
1. Рассматривая ст. 19 комментируемого Закона, следует отметить, что Федеральным законом от 25.07.2011 N 261-ФЗ была введена в действие ее новая редакция, содержание которой существенно отличается от предыдущей версии.
Основным подзаконным нормативным правовым актом, принятым в развитие положений предыдущей редакции ст. 19, являлось Постановление Правительства РФ от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
В соответствии с требованиями указанного нормативного правового акта были утверждены следующие нормативные правовые акты и методические документы:
- Приказ ФСТЭК РФ, ФСБ РФ, Мининформсвязи РФ от 13.02.2008 N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных";
- Приказ ФСТЭК РФ от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных";
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ РФ 21.02.2008 N 149/54-144).
Однако в соответствии с положениями актуальной редакции ст. 19 было издано Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", в соответствии с которым Постановление Правительства РФ от 17.11.2007 N 781 утратило силу. В связи с этим в настоящее время неопределенным представляется статус вышеуказанных подзаконных нормативных правовых актов и методических рекомендаций в сфере защиты персональных данных, принятых в соответствии с Постановлением Правительства РФ от 17.11.2007 N 781, которые формально не утратили силу, однако не соответствуют актуальной редакции ст. 19, положениям Постановления Правительства РФ от 01.11.2012 N 1119 и требуют значительных корректировок.
В новой редакции ст. 19 появились дефиниции, которые необходимо учитывать при ее толковании, а именно: угрозы безопасности персональных данных, уровень защищенности персональных данных.
2. Часть первая рассматриваемой статьи устанавливает обязанность оператора принимать необходимые меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, а именно:
- правовые;
- организационные;
- технические (или обеспечивать принятие таких мер).
В предыдущей редакции статьи речь шла только об организационных и технических мерах. Помимо этого, не предусматривался такой вариант действий оператора, как обеспечение принятия мер, в данном контексте подразумевается возможность осуществления обработки персональных данных по поручению оператора другим лицом на основании договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
3. Часть вторая ст. 19 определяет компоненты обеспечения безопасности персональных данных, перечень которых не является исчерпывающим.
1. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Дефиниция угрозы безопасности персональных данных приводится в ч. 11 комментируемой статьи. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
Кроме того, ч. ч. 5 - 7 рассматриваемой статьи определяют необходимость формулирования в положениях нормативных правовых актов угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
Субъектами правотворчества в данном случае являются:
- федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности (федеральные министерства);
- органы государственной власти субъектов Российской Федерации;
- Банк России;
- органы государственных внебюджетных фондов;
- иные государственные органы в пределах своих полномочий.
Например, Министерство транспорта Российской Федерации в своих приказах формулирует угрозы безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении перевозок пассажиров.
Помимо этого, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.
Проекты вышеотмеченных нормативных правовых актов и решений подлежат согласованию в федеральном органе исполнительной власти, уполномоченном в области обеспечения безопасности, и федеральном органе исполнительной власти, уполномоченном в области противодействия техническим разведкам и технической защиты информации.
2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
Под уровнем защищенности персональных данных в соответствии с п. 11 рассматриваемой статьи понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
Отношения, возникающие при оценке соответствия, регулируются Федеральным законом от 27.12.2002 N 184-ФЗ "О техническом регулировании". Под оценкой соответствия подразумевается прямое или косвенное определение соблюдения требований, предъявляемых к объекту.
4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
5. Учет машинных носителей персональных данных.
6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер по его обнаружению и пресечению.
7. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
8. Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Так, в соответствии с п. 17 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 01.11.2012 N 1119, контроль за выполнением указанных требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).
Порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации), осуществляемой юридическими лицами и индивидуальными предпринимателями, определен Положением о лицензировании деятельности по технической защите конфиденциальной информации, утв. Постановлением Правительства РФ от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации".
4. Часть третья комментируемой статьи определяет, что Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает следующее.
1. Уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных.
Указанные угрозы определены и систематизированы п. 6 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 01.11.2012 N 1119:
- угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
- угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
- угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
2. Требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.
Пунктами 8 - 12 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 01.11.2012 N 1119, определены 4 уровня защищенности персональных данных при их обработке в информационных системах и условия их разграничения.
Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа, и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;
б) для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа, и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает биометрические персональные данные;
г) для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
д) для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
е) для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
б) для информационной системы актуальны угрозы 2-го типа, и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
г) для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает биометрические персональные данные;
д) для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 3-го типа, и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Пункты 12 - 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 01.11.2012 N 1119, определяют требования, необходимые для обеспечения защищенности персональных данных при их обработке в информационных системах согласно соответствующим уровням.
3. Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных утверждены Постановлением Правительства РФ от 06.07.2008 N 512.
Пунктом 4 данного документа определено, что материальный носитель должен обеспечивать:
а) защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;
б) возможность доступа к записанным на материальный носитель биометрическим персональным данным, осуществляемого оператором и лицами, уполномоченными в соответствии с законодательством Российской Федерации на работу с биометрическими персональными данными;
в) возможность идентификации информационной системы персональных данных, в которую была осуществлена запись биометрических персональных данных, а также оператора, осуществившего такую запись;
г) невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.
Кроме того, в случае если на материальном носителе содержится дополнительная информация, имеющая отношение к записанным биометрическим персональным данным, такая информация должна быть подписана усиленной квалифицированной электронной подписью и (или) защищена иными информационными технологиями, позволяющими сохранить целостность и неизменность информации, записанной на материальный носитель.
5. Часть пятая статьи 19 подразумевает, что состав и содержание организационных и технических мер, необходимых для выполнения требований, установленных Правительством Российской Федерации в соответствии с рассмотренной выше ч. 3 комментируемой статьи, устанавливаются в пределах полномочий соответствующими приказами:
1) федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности;
2) федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.
Часть восьмая рассматриваемой статьи возлагает полномочия по контролю и надзору за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в государственных информационных системах на вышеуказанные органы в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. Решением Правительства Российской Федерации контрольно-надзорные полномочия указанных органов могут быть с учетом значимости и содержания обрабатываемых персональных данных применены к не являющимся государственными информационным системам, эксплуатируемым при осуществлении определенных видов деятельности.
Согласно положениям Федерального закона от 03.04.1995 N 40-ФЗ, п. 1 Положения о Федеральной службе безопасности Российской Федерации, утв. Указом Президента РФ от 11.08.2003 N 960, федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, является Федеральная служба безопасности Российской Федерации (ФСБ России).
Пункт 1 Положения о Федеральной службе по техническому и экспортному контролю, утв. Указом Президента РФ от 16.08.2004 N 1085, определяет федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, Федеральную службу по техническому и экспортному контролю (ФСТЭК России).
Что касается вопроса разграничения компетенции применительно к обеспечению безопасности персональных данных, то следует отметить, что к ведению ФСТЭК России относятся вопросы обеспечения защиты персональных данных некриптографическими методами (предотвращения их утечки по техническим каналам, несанкционированного доступа к ним, специальных воздействий на носители персональных данных в целях их добывания, уничтожения, искажения и блокирования), ФСБ России осуществляет регулирование в области разработки, производства, реализации, эксплуатации шифровальных (криптографических) средств и защищенных с использованием шифровальных средств информационных систем персональных данных.
6. Часть десятая ст. 19 определяет общее положение о том, что использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С.
Год издания: 2013