Затверджено перелік організаційних і технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах

  1. висновки та рекомендації
  2. Допомога консультантів
  3. Для отримання додаткової інформації звертайтеся, будь ласка:

26.06.2013
26

2-го червня 2013 року набрав чинності Наказ Федеральної служби з технічного та експортного контролю (ФСТЕК) від 18 лютого 2013 р № 21 «Про затвердження складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних »(« Наказ »).

Урядом РФ раніше було прийнято Постанову від 01.11.2012 р № 1119 «Про затвердження вимог до захисту персональних даних під час їх обробки в інформаційних системах персональних даних», яким, зокрема, визначено рівні захищеності персональних даних ( «ПД») при їх обробці в інформаційних системах в залежності від характеру загроз, обсягу і значимості оброблюваних відомостей.

Наказом встановлено склад і зміст організаційних і технічних заходів, необхідних для виконання вимог, встановлених Постановою Уряду РФ № 1119.

Наказом визначено детальний склад заходів щодо забезпечення безпеки ПД в залежності від рівня захищеності ПД. Введено 15 категорій заходів, 8 з яких є обов'язковими незалежно від рівня захищеності ПД, а саме:

  • ідентифікація та аутентифікація суб'єктів доступу і об'єктів доступу;
  • управління доступом суб'єктів доступу до об'єктів доступу;
  • реєстрація подій безпеки;
  • антивірусний захист;
  • контроль (аналіз) захищеності ПД;
  • захист середовища віртуалізації;
  • захист технічних засобів;
  • захист інформаційної системи, її засобів, систем зв'язку і передачі даних.

Серед найбільш істотних нововведень відповідних заходів можна відзначити захист середовища віртуалізації і контроль установки оновлень програмного забезпечення, які раніше не передбачалися.

Одним з позитивних нововведень Наказу є те, що оператор в разі неможливості технічної реалізації окремих заходів або з урахуванням економічної доцільності має право розробляти інші (компенсуючі) заходи, спрямовані на нейтралізацію актуальних загроз безпеки ПД. В цьому випадку в ході розробки системи захисту ПД має бути проведено обгрунтування застосування компенсуючих заходів для забезпечення безпеки ПД.

Відповідно до Наказу роботи по забезпеченню безпеки ПД при їх обробці в інформаційній системі і оцінка ефективності заходів щодо захисту ПД в інформаційній системі може проводитися оператором самостійно або із залученням третьої особи. Якщо для зазначених цілей залучається третя особа, воно в обов'язковому порядку повинно мати ліцензію на діяльність з технічного захисту конфіденційної інформації.

З набранням чинності Наказом втрачає силу Наказ ФСТЕК Росії від 05.02.2010 р № 58 «Про затвердження Положення про методи та способи захисту інформації в інформаційних системах персональних даних».

висновки та рекомендації

Ми рекомендуємо в самий найближчий час провести оцінку відповідності заходів, прийнятих в компанії для захисту ПД при їх обробці в інформаційних системах, положенням Наказу та забезпечити виконання встановлених Наказом вимог.

Невиконання встановлених вимог до захисту ПД може спричинити адміністративну відповідальність організації і / або її посадових осіб. Відзначимо, що відповідно до законопроекту, розробленого Роскомнадзором (в даний час в Державну Думу РФ ще не внесений), планується значно збільшити адміністративні штрафи за порушення порядку збирання, зберігання, використання, поширення ПД до 30 - 500 тис. Рублів для юридичних осіб ( в даний час максимальний розмір адміністративного штрафу становить 10 тис. рублів), а по окремих порушень ввести для підприємців і компаній оборотні штрафи в розмірі 0,5-2 відсотка від сукупного доходу за минулий рік.

Допомога консультантів

Фахівці компанії «Пепеляєв Груп» мають значний досвід консультування з питань дотримання законодавства про ПД і можуть надати будь-яку необхідну допомогу з організаційних, правових, а також технічних питань приведення діяльності компаній-операторів у відповідність до вимог законодавства про ПД.

ТОВ «Пепеляєв Груп» має ліцензії на здійснення діяльності з технічного захисту конфіденційної інформації і ряд ліцензій ФСТЕК і ФСБ в області захисту інформації, що дозволяє реалізовувати будь-які комплексні проекти в області захисту ПД.

Для отримання додаткової інформації звертайтеся, будь ласка:

У Москві - до Юлії Бороздна, керівнику практики трудового і міграційного права «Пепеляєв Груп», за тел .: (495) 967-00-07 або по [email protected]; Олені Овчаровой, Керівнику групи Адміністративно-правового захисту бізнесу, по тел .: (495) 967-00-07 або по [email protected];

У Санкт-Петербурзі - до Олександра Коркіну, старшому юристу «Пепеляєв Груп» (СПб), по тел .: (812) 640-60-10 або по [email protected]

У Красноярську - до Єгора Лисенко, керівнику сибірського відділення «Пепеляєв Груп», за тел. +7 (391) 277-73-00 або по [email protected]