Комментарии.org Комментарии Российского законодательства
Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
Материал представляет собой постатейный научно-практический комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных". В нем рассматриваются правоотношения, складывающиеся в процессе получения, хранения и обработки персональных данных на территории Российской Федерации.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

Комментарий к статье 19

1. Комментируемая статья конкретизирует порядок исполнения ключевой обязанности оператора персональных данных, заключающейся в реализации конкретных мер правового, организационного и технического характера, направленных на защиту таких свойств безопасности персональных данных, как:
- конфиденциальность - от возможных утечек (data breach) вследствие неправомерного или случайного доступа к ним неуполномоченных лиц; неправомерного копирования, предоставления, распространения персональных данных;
- доступность - от неправомерного блокирования или уничтожения, вследствие которых создается угроза возможности своевременного доступа пользователей информационной системы персональных данных к таким данным всегда, когда в этом возникает необходимость;
- целостность - от неправомерного изменения персональных данных, т.е. искажения их содержания.
Меры, указанные в комментируемой статье, могут относиться к одной из трех групп:
1) правовые (подготовка и принятие соответствующих локальных нормативных актов);
2) организационные (назначение ответственных лиц, обучение работников, непосредственно вовлеченных в процесс обработки персональных данных, правилам информационной безопасности и т.п.);
3) технические (набор мер, направленных как на уменьшение вероятности реализации угроз информационной безопасности вследствие уязвимости информационной системы, так и на минимизацию потерь при реализации таких угроз).
2. Для выполнения предусмотренной в п. 1 ч. 2 комментируемой статьи обязанности по определению угроз безопасности персональных данных необходимо разработать документ "Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных". При этом целесообразно руководствоваться следующими документами ФСТЭК:
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК 14 февраля 2008 г.;
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК 15 февраля 2008 г.
При разработке модели угроз в литературе <1> рекомендуется следовать следующему алгоритму:
--------------------------------
<1> Практические рекомендации по соблюдению законодательства Российской Федерации о персональных данных образовательными организациями / Под ред. В.Д. Зыкова. М., 2015. С. 12.

1) определить уровень защищенности каждой используемой оператором информационной системы персональных данных в соответствии с критериями, указанными в Постановлении Правительства РФ от 1 ноября 2012 г. N 1119;
2) определить основные типы потенциальных нарушителей на основании анализа круга лиц, имеющих возможность доступа (санкционированного или несанкционированного) к информационным системам персональных данных; составить перечень доверенных лиц, актуальных нарушителей и проанализировать возможности актуальных нарушителей;
3) провести классификацию угроз безопасности персональных данных и составить их перечень.
В качестве ориентира может представлять интерес перечень угроз, приведенный Центральным банком РФ <1>, в который входят угрозы:
--------------------------------
<1> Указание Банка России от 10 декабря 2015 г. N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных".

- несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;
- воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;
- использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;
- несанкционированного доступа к отчуждаемым носителям персональных данных;
- утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;
- несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимых мест в организации защиты персональных данных;
- несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимых мест в программном обеспечении информационной системы персональных данных;
- несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимых мест в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
- несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимых мест в обеспечении защиты вычислительных сетей информационной системы персональных данных;
- несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимых мест, появившихся из-за несоблюдения требований по эксплуатации средств криптографической защиты информации;
4) оценить вероятность реализации угроз экспертным методом (по каждой из угроз компетентное лицо по качественной шкале выдвигает оценочное заключение, основанное на его знаниях и опыте, а также специфике конкретных обстоятельств);
5) рассчитать вероятность реализации угроз, исходя из вероятности их реализации и уровня защищенности информационной системы персональных данных;
6) оценить экспертным методом опасность угрозы;
7) определить актуальность каждой из угроз и составить перечень актуальных угроз.
3. Перечень организационных и технических мер, необходимых согласно п. 2 ч. 2 комментируемой статьи для выполнения требований к защите персональных данных, в соответствии с уровнями защищенности персональных данных, установленными Правительством РФ, предусмотрен в следующих актах:
- Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" (о понятии средств криптографической защиты информации см. п. 2 Постановления Правительства РФ от 16 апреля 2012 г. N 313);
- Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
- Приказ ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Данный документ применяется наряду с вышеуказанными операторами, обрабатывающими персональные данные с использованием государственных информационных систем. В принципе, оператор может следовать указанным требованиям и для защиты информации, обрабатываемой в негосударственных информационных системах, при наличии на то его решения (п. 6 настоящего Приказа).
Перечисленные акты носят достаточно технический характер и адресованы преимущественно специалистам в области информационной безопасности.
Реализованные с учетом вышеуказанных документов технические меры защиты персональных данных целесообразно отразить в отдельном документе "Описание системы защиты персональных данных".
4. Применяемые средства защиты информации согласно п. 3 ч. 2 комментируемой статьи должны пройти процедуру оценки соответствия. Порядок и условия проведения процедуры оценки соответствия регулируются Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" (далее - Закон о техническом регулировании). В общем виде формы оценки соответствия указаны в следующей схеме <1>:
--------------------------------
<1> Данная схема взята из блога Алексея Лукацкого "Бизнес без опасности". URL: http://lukatsky.blogspot.de/2011/04/blog-post_08.html.

                   ---------------¬
                 --+ Госконтроль  ¦
                 ¦ ¦   и надзор   ¦
                 ¦ L---------------
                 ¦ ---------------¬
                 +-+ Аккредитация ¦
                 ¦ L---------------
                 ¦ ---------------¬
                 +-+  Испытания   ¦    ---------------¬
-------------¬  ¦ L---------------    ¦ Добровольная ¦
¦   ОЦЕНКА   ¦  ¦ ---------------¬  --+ сертификация ¦
¦СООТВЕТСТВИЯ+--+-+ Регистрация  ¦  ¦ L---------------
L-------------  ¦ L---------------  ¦ ---------------¬
                 ¦ ---------------¬  ¦ ¦ Обязательная ¦
                 +-+Подтверждение +--+-+ сертификация ¦
                 ¦ ¦ соответствия ¦  ¦ L---------------
                 ¦ L---------------  ¦ ---------------¬
                 ¦ ---------------¬  L-+Декларирование¦
                 +-+Приемка и ввод¦    ¦ соответствия ¦
                 ¦ ¦в эксплуатацию¦    L---------------
                 ¦ L---------------
                 ¦ ---------------¬
                 L-+ В иной форме ¦
                   L---------------

В ст. 2 Закона о техническом регулировании указано, что оценка соответствия заключается в прямом или косвенном определении соблюдения требований, предъявляемых к объекту согласно техническим регламентам, положениям стандартов, сводам правил или условиям договоров, по результатам чего выдается подтверждение соответствия. Подтверждение соответствия может быть добровольным или обязательным (ст. 20 Закона о техническом регулировании). Обязательное подтверждение соответствия проводится только в случаях, установленных техническим регламентом на основании соответствия его требованиям (п. 1 ст. 23 Закона о техническом регулировании). Отсутствие в настоящее время технических регламентов, устанавливающих требования к средствам защиты информации, используемым для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, делает невозможными как оценку соответствия, так и добровольное или обязательное подтверждение соответствия СЗИ <1>.
--------------------------------
<1> Данная позиция выражена, в частности, в письме Центрального банка РФ от 17 ноября 2011 г. N 015-16-9/4713.

Тем не менее на практике нередко возникает вопрос о том, предусмотрена ли законодательством обязательная сертификация средств защиты персональных данных, используемых оператором.
Обязательная сертификация предусмотрена, в частности, для таких информационных систем, как:
- средства шифрования и другие средства защиты информации, предназначенные для защиты сведений, содержащих государственную тайну (ст. 28 Закона РФ "О государственной тайне");
- средства защиты информации в государственных информационных системах (п. 11 Приказа ФСТЭК России от 11 февраля 2013 г. N 17);
- средства защиты информации в платежных системах, если оператором используются средства криптографической защиты информации российского производства (п. 2.9.1 Положения Банка России от 9 июня 2012 г. N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств").
В отношении средств защиты персональных данных в негосударственных информационных системах персональных данных законодательством РФ не устанавливается обязательного требования о прохождении процедуры оценки соответствия исключительно в форме обязательной сертификации, поэтому для указанных целей могут применяться средства защиты информации, прошедшие процедуру соответствия в любой из предусмотренных Законом о техническом регулировании форм. В случае использования оператором такой формы, как обязательная сертификация, средства защиты должны соответствовать п. 12 Приказа ФСТЭК России от 18 февраля 2013 г. N 21.
Кроме того, следует отметить, что действующее законодательство не предусматривает обязательной сертификации на соответствие требованиям по безопасности информации средств кодирования (шифрования), массово применяемых при передаче сообщений в сети Интернет для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании сети Интернет <1>.
--------------------------------
<1> Извещение ФСБ по вопросу использования несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет от 18 июля 2016 г. URL: http://www.fsb.ru/fsb/science/single.htm!id=10437738@fsbResearchart.html.

5. Использование для защиты персональных данных средств криптографической защиты информации не является обязательным, за исключением случаев, когда соответствующие угрозы не могут быть нейтрализованы только посредством таких средств:
- при передаче персональных данных по каналам связи, не защищенным от перехвата или иных несанкционированных воздействий на передаваемую информацию (в том числе посредством сети Интернет);
- при хранении персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть предотвращен некриптографическими методами и способами.
Соответствующие средства криптографической защиты информации должны пройти процедуру оценки соответствия. При этом перечень таких средств, сертифицированных ФСБ России, опубликован на официальном сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru).
6. Оценка эффективности принимаемых мер, упомянутая в п. 4 ч. 2 комментируемой статьи, может быть проведена оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится в сроки, определяемые оператором, но не реже чем один раз в три года <1>.
--------------------------------
<1> См. п. 17 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 1 ноября 2012 г. N 1119.

Форма оценки эффективности принимаемых мер, а также форма и содержание документов, разрабатываемых по результатам оценки, актами ФСТЭК не установлены, в связи с чем решение по форме оценки эффективности таких мер и документов, разрабатываемых по результатам оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных. В случае если привлекаемая для реализации мер по обеспечению безопасности персональных данных организация осуществляет техническое обслуживание шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, используемых оператором персональных данных, эта организация должна помимо лицензии ФСТЭК обладать лицензией ФСБ на осуществление подобного рода действий <1>.
--------------------------------
<1> Постановление Правительства РФ от 16 апреля 2012 г. N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".

Оценка эффективности мер по защите персональных данных может осуществляться в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения" <1>.
--------------------------------
<1> См. п. 3 информационного сообщения ФСТЭК России от 15 июля 2013 г. N 240/22/2637.

7. Учет машинных носителей персональных данных, упомянутый в п. 5 ч. 2 комментируемой статьи, является одной из мер, направленных на обеспечение их сохранности. Учет таких носителей является мерой, необходимой для информационных систем персональных данных 1-го и 2-го уровней защищенности (см. разд. 4 Приложения к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Приказа ФСТЭК от 18 февраля 2013 г. N 21). В отношении съемных видов машинных носителей (в том числе флешки, внешние жесткие диски, мобильные устройства и пр.) следует учитывать положения п. 7 Приказа ФСБ от 10 июля 2014 г. N 378, в соответствии с которым необходимо осуществлять:
а) хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов);
б) поэкземплярный учет машинных носителей персональных данных путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.
8. Обнаружение фактов несанкционированного доступа к персональным данным, упоминаемое в п. 6 ч. 2 комментируемой статьи, должно в соответствии с п. 8.7 Приказа ФСТЭК от 18 февраля 2013 г. N 21 обеспечиваться мерами по обнаружению (предотвращению) вторжений. Система обнаружения вторжений должна обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия. Такого рода системы можно разделить на две основные группы: 1) пассивные (Intrusion Detection System, IDS) и 2) активные (Intrusion Prevention System, IPS). В пассивной системе при обнаружении нарушения безопасности информация об этом записывается в лог (журнал событий) приложения, а сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. Активная система предпринимает ответные действия в ответ на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника, например для защиты от DDoS-атак <1>.
--------------------------------
<1> DDoS-атака (от англ. Denial of Service - отказ в обслуживании) - хакерская атака на информационную систему с целью довести ее до отказа, т.е. создание таких условий, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам) либо этот доступ затруднен.

Системы обнаружения вторжений позволяют отслеживать трафик в компьютерной сети и блокировать подозрительные потоки данных или осуществлять поведенческий анализ процессов на компьютере с целью выявления подозрительной активности. Требования к системам обнаружения вторжений в государственных информационных системах утверждены Приказом ФСТЭК России от 6 декабря 2011 г. N 638.
9. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, как техническая мера защиты персональных данных, упомянутая в п. 7 ч. 2 комментируемой статьи, может осуществляться посредством регулярного резервного копирования персональных данных.
10. Поскольку персональные данные являются разновидностью информации ограниченного доступа, то по общему правилу доступ к ним должен осуществляться в силу служебной необходимости и зависеть от характера выполняемой работником трудовой функции. С технической точки зрения это реализуется посредством установления моделей разграничения доступа к информационным системам персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных (п. 8 ч. 2 комментируемой статьи).
Разграничение доступа представляет собой совокупность правил, регламентирующих порядок и условия доступа субъекта к объектам информационной системы. Существуют две основные модели разграничения доступа:
1) мандатное разграничение доступа;
2) дискреционное разграничение доступа.
В мандатной модели обычные пользователи лишены возможности управлять настройками политики безопасности. Например, возможность доступа к тому или иному объекту определяется уровнем его конфиденциальности и уровнем допуска пользователя, которые жестко заданы для каждого пользователя и объекта. Данная модель обладает невысокой гибкостью и высокой трудоемкостью настройки политики безопасности, но при этом позволяет достичь высокого уровня управляемости безопасностью. К примеру, субъект "Пользователь N 2", имеющий допуск уровня "не секретно", не может получить доступ к объекту, имеющему метку "для служебного пользования". В то же время субъект "Пользователь N 1" с допуском уровня "секретно" право доступа к объекту с меткой "для служебного пользования" имеет.
В дискреционной модели управление доступом субъектов к информационным объектам базируется на том, что пользователи в том или ином объеме могут управлять настройками политики безопасности. Уровень допуска к тому или иному объекту определяется "суперпользователем" исходя из группы, к которой принадлежит субъект. Например, если субъект "Пользователь N 1" входит в группу "юристы", то он имеет доступ к сведениям о должниках. В то же время субъект "Пользователь N 2", входящий в группу "служба IT-поддержки", такого доступа не имеет. При этом формирование и назначение ролей работников организации следует осуществлять с учетом соблюдения принципа предоставления им минимальных прав и полномочий, необходимых для выполнения служебных обязанностей.
В качестве ориентира при имплементации модели разграничения доступа можно руководствоваться положениями п. 7 Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2014).
11. Все принимаемые оператором правовые, организационные и технические меры во многом утрачивают смысл, если отсутствует надлежащий контроль за их точной и своевременной реализацией. В этой связи п. 9 ч. 2 комментируемой статьи устанавливает необходимость осуществления контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. В частности, такой контроль может осуществляться посредством внутреннего и внешнего аудита, мониторинга реализации защитных мер, модификации системы безопасности по результатам проведенных аудитов.
12. В соответствии с ч. 3 комментируемой статьи Правительство РФ устанавливает виды угроз безопасности персональных данных, уровни защищенности персональных данных, требования к их защите с учетом необходимого уровня защищенности. Указанные элементы определяются с учетом возможного причинения вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных. Во исполнение требований комментируемой статьи было принято Постановление Правительства РФ от 1 ноября 2012 г. N 1119, утвердившее Требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - Постановление N 1119).
В самом общем виде алгоритм применения данного документа можно свести к следующим шагам:
1) определяются актуальные угрозы (всего три типа угроз);
2) в зависимости от типа угроз, а также от количества субъектов персональных данных, видов персональных данных (биометрические, специальные категории, общедоступные) определяется требуемый уровень защищенности (всего четыре уровня);
3) в соответствии с Приказом ФСБ N 378 и Приказом ФСТЭК N 21 оператором определяются состав и содержание конкретных организационных и технических мер по обеспечению безопасности ПД для каждого из четырех уровней защищенности.
Угрозы безопасности персональных данных определены в п. 6 Постановления N 1119:
- угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
- угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
- угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Уровни защищенности персональных данных установлены в п. п. 8 - 12 Постановления N 1119.
Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;
г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;
г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;
д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
Приведенные положения представлены в виде следующей таблицы <1>:
--------------------------------
<1> Настоящая таблица взята из кн.: Практические рекомендации по соблюдению законодательства Российской Федерации о персональных данных образовательными организациями / Под ред. В.Д. Зыкова. М., 2015. С. 13.

Количество субъектов Категория данных Категория субъектов Актуальные угрозы Уровень защищенности
Более 100 000 Специальные категории Сотрудники Угрозы 1-го типа 1


1


Сотрудники и несотрудники Угрозы 1-го типа 1


Сотрудники Угрозы 1-го типа 1


1


Сотрудники Угрозы 1-го типа 2


2


Менее 100 000 Специальные категории Сотрудники и несотрудники Угрозы 1-го типа 1


Сотрудники и несотрудники Угрозы 1-го типа 1


Сотрудники и несотрудники Угрозы 1-го типа 1


Сотрудники и несотрудники Угрозы 1-го типа 2



13. Вследствие возможного наличия у операторов персональных данных определенной специфики в части обрабатываемых персональных данных и структурирования процессов их обработки ч. 5 комментируемой статьи предоставляет государственным органам, Банку России, государственным внебюджетным фондам право принимать в пределах своих полномочий нормативные правовые акты, в которых они могут определять угрозы безопасности персональных данных, актуальные для них. Такая возможность может использоваться, в частности, для подготовки перечня актуальных угроз для операторов (организаций), находящихся в сфере регулирования такого органа власти, или для защиты ведомственных информационных систем персональных данных. Такого рода нормативные акты должны быть согласованы с ФСБ и ФСТЭК. Существуют специальные Методические рекомендации ФСБ по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности <1>.
--------------------------------
<1> Утверждены Приказом ФСБ России от 31 марта 2015 г. N 149/7/2/6-432.

В качестве примера акта, разработанного в порядке, предусмотренном комментируемым положением, можно упомянуть Указание Банка России от 10 декабря 2015 г. N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных".
14. Часть 6 комментируемой статьи устанавливает
Безымянная страница

Юридическая литература:
- Юридическая помощь: вопросы и ответы
- Трудовое право России: Учебник
- Наследственное право
- Юридический справочник застройщика
- Гражданское право: Учебник : Том 1
- Единый налог на вмененный доход: практика применения
- Защита прав потребителей жилищно-коммунальных услуг: как отстоять свое право на комфортное проживание в многоквартирном доме
- Транспортные преступления: понятие, виды, характеристика: Монография
- Бюджетное право: Учебник
- Страхование для граждан: ОСАГО, каско, ипотека
- Договор трансграничного займа: право и практика
- Судебный конституционный нормоконтроль: осмысление российского опыта: Монография
- Несостоятельность (банкротство) юридических и физических лиц: Учебное пособие
- Оценочная деятельность в арбитражном и гражданском процессе
- Административное судопроизводство
- Деликтные обязательства и деликтная ответственность в английском, немецком и французском праве
- Гражданское право том 1
- Гражданское право том 2
- Защита интеллектуальных прав
- Право интеллектуальной собственности
- Земельное право
- Налоговое право
- Конституционно-правовые основы антикоррупционных реформ в России и за рубежом
- Семейное право
- Конституционное право Российской Федерации
Rambler's Top100
На правах рекламы:

Copyright 2007 - 2018 гг. Комментарии.ORG. All rights reserved.
При использовании материалов сайта активная гипер ссылка  обязательна!