Анонсы
Программа повышения квалификации "О контрактной системе в сфере закупок" (44-ФЗ)"

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Новости
Новости и аналитика Правовые консультации Малый бизнес Установление уровня защищенности персональных данных в информационной системе

Установление уровня защищенности персональных данных в информационной системе

Есть информационная система, в которой обрабатываются ПДн только работников Оператора, которые относятся к ПДн, включенным с письменного согласия субъектов ПДн в общедоступные источники ПДн. Количество субъектов, чьи ПДн обрабатываются в информационной системе, менее ста тысяч человек.
Факты обработки в информационной системе каких-либо категорий ПДн субъектов ПДн, не являющихся работниками Оператора, а также иных категорий ПДн работников Оператора не установлены.
Для информационной системы актуальны угрозы третьего типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Какой уровень защищенности ПДн необходимо установить исходя из указанных параметров?

Рассмотрев вопрос, мы пришли к следующему выводу:

При обработке персональных данных в информационной системе, отвечающей обозначенным параметрам, необходимо обеспечение четвертого уровня их защищенности.

Обоснование вывода:

Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) на оператора возложена обязанность по принятию необходимых правовых, организационных и технических мер или обеспечению их принятия для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности, определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн), а также применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных.

Требования к защите персональных данных при их обработке в ИСПДн (далее - Требования) и уровни защищенности таких данных утверждены постановлением Правительства РФ от 01.11.2012 N 1119.

Для определения уровня защищенности персональных данных необходимо учитывать четыре параметра:

- категории обрабатываемых персональных данных;

- обрабатываются ли персональные данные работников или третьих лиц;

- актуальные типы угроз;

- количество субъектов, чьи персональных данные подлежат обработке в ИСПДн (пп. 5-6, 9-13 Требований).

Для определения необходимого уровня защищенности персональных данных необходимо сопоставить параметры конкретной ИСПДн с установленными пп 9-12 Требований условиями.

По нашему мнению, с учетом приведенных параметров ИСПДн в рассматриваемой ситуации для персональных данных необходимо обеспечение четвертого уровня защищенности.

При этом полагаем необходимым обратить внимание на то, что информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со ст. 8 Закона N 152-ФЗ (п. 5 Требований).

Из положений ст. 8 Закона N 152-ФЗ следует, что в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги), в которые с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Таким образом, условием отнесения ИСПДн к информационной системе персональных данных, обрабатывающей общедоступные персональные данные, является получение таких данных из общедоступных источников, что в отношении работников оператора не применимо в силу положений ст. 65, 86 ТК РФ, согласно которым источником персональных данных работника является он сам.

При исключении обработки в информационной системе специальных категорий и биометрических персональных данных, а также полученных из общедоступных источников, информационная система подлежит отнесению к обрабатывающей иные категории персональных данных (п. 5 Требований).

Однако указанное обстоятельство на уровень защищенности персональных данных не повлияло, поскольку для информационной системы с актуальными угрозами третьего типа, обрабатывающей иные категории персональных данных менее чем 100 000 работников оператора, также необходимо обеспечение четвертого уровня защищенности (п. 12 Требований).

Для обеспечения четвертого уровня защищенности персональных данных при их обработке в информационных системах, как следует из п. 13 Требований, необходимо выполнение следующих требований:

- организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

- обеспечение сохранности носителей персональных данных;

- утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

- использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Состав и содержание необходимых для выполнения установленных требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных установлены также приказом ФСТЭК России от 18.02.2013 N 21 и приказом ФСБ России от 10.07.2014 N 378.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Беликова Татьяна

Контроль качества ответа:
Рецензент службы Правового консалтинга ГАРАНТ
Парасоцкая Елена

5 августа 2024 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

Получите полный доступ к системе ГАРАНТ бесплатно на 3 дня!
Получить доступ
РЕКЛАМА erid 4CQwVszH9pWwojUA9Q3