На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 6 ноябрь-декабрь 2012 г.
Тема номера:
КИБЕРВОЙНЫ И КИБЕРМИР
Новые требования к защите персональных данных при их обработке в ИСПДн
Алексей Ефремов, кандидат юридических наук

Предыдущая статьяСледующая статья

Следственный комитет передал в суд материалы уголовного дела в отношении должностных лиц ФКУ «Единый расчетный центр Министерства обороны России» (ЕРЦ МО России) в Москве. По данным следствия, на протяжении нескольких ночей в марте и апреле текущего года один из финансистов-мошенников под чужими паролями входил в компьютерную базу ЕРЦ МО РФ. Злоумышленник занес в базу 127 «мертвых душ», якобы проходящих военную службу в Южном военном округе. Утром его подельник утверждал фиктивные документы, в соответствии с которыми на банковские карты «виртуальных» военных было перечислено в общей сложности свыше 6,3 млн рублей. В Ставрополье другой член «банды бухгалтеров» через банкомат обналичил более 4 млн рублей, якобы начисленных для выплаты денежного довольствия за январь, февраль и март, а также ежемесячных премий 49 военнослужащим по контракту.

Почти полтора года спустя внесения изменений в ФЗ «О персональных данных» Правительство РФ своим постановлением от 1 ноября 2012 г. № 1119 утвердило Требования к защите персональных данных при их обработке в информационных системах персональных данных (далее — Требования).

Данное постановление было опубликовано в «Российской газете» 7 ноября 2012 г. и с 15 ноября вступило в силу. С этого момента утратило силу постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Документ направлен на реализацию нормы ч. 3 ст. 19 закона, которая установила, что Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.

В апреле и сентябре на сайте ФСБ России были опубликованы проекты данных документов, и автор настоящей статьи готовил на них заключения по результатам независимой антикоррупционной экспертизы, которые были в значительной части учтены.

Постановление определяет категории информационных систем (п. 5 Требований):

  • обрабатывающие специальные категории персональных данных;
  • обрабатывающие биометрические персональные данные;
  • обрабатывающие общедоступные персональные данные;
  • обрабатывающие иные категории персональных данных;
  • обрабатывающие персональные данные сотрудников оператора.

В Требованиях установлены 3 типа актуальных угроз безопасности персональных данных (п. 6):

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных. Для каждого из уровней, в отличие от ранее действовавших норм, конкретизированы требования. Контроль за выполнением Требований организуется и проводится оператором (или его уполномоченным лицом) самостоятельно и(или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации, причем не реже одного раза в 3 года.

warning!   Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2018 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100