Правовой портал «Норма» сообщает о том, что правительство приняло постановление «Об утверждении некоторых нормативных правовых актов в области обработки персональных данных».
Под «персональными данными» в данном документе подразумеваются данные, которые записаны на электронном, бумажном и/или ином материальном носителе и при этом имеют отношение к конкретному физлицу или с их помощью можно идентифицировать данного человека. Когда же речь идет о «биометрических данных», то в этом случае подразумеваются данные, содержащие информацию об анатомических и физиологических особенностях конкретного человека. Еще есть «генетические данные» — это тип персональных данных, куда входят унаследованные или приобретенные характеристики субъекта, информация о которых получена из результатов анализа биологических образцов, полученных от субъекта или иного источника, но содержащего эквивалентную информацию. Последний подтип – это «специальные персональные данные», в которых содержится информация о расовом, социальном происхождении, религиозных, политических или мировоззренческих взглядах, членстве в политических или профессиональных союзах, информация о душевном или физическом здоровье, сведения о частной жизни или судимости.
Принятое правительством постановление содержит Положение об определении степени защищенности персональных данных при обработке. В частности, там говорится, что организационные и технические меры по защите данных возлагаются на собственника и/или оператора. Эти меры определяются имеющимися угрозами, под каковыми понимаются: угрозы изменения, дополнения, использования, предоставления, передачи, распространения, обезличивания, уничтожения, копирования, при этом доступ к персональным данным является несанкционированным, в том числе – случайным несанкционированным. Всего выделяется три типа угроз и четыре степени защиты персональных данных.
Уровень защиты | Условия применения соответствующего уровня | Необходимые меры защиты |
I степень защиты | — наличие угроз I типа и обработка специальной и (или) биометрической и (или) генетической информации; — наличие угроз II типа и обработка специальных персональных данных более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора | — обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании; — обеспечение безопасности физических предметов, на которых хранятся персональные данные; утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных; — обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты; назначение ответственного должностного лица (сотрудника), обеспечивающего безопасность базы персональных данных; — предоставление права доступа к сведениям журнала электронных сообщений базы данных исключительно сотрудникам, осуществляющим соответствующие обязанности, а также уполномоченным лицам; — автоматическая регистрация в электронном журнале безопасности изменений полномочий сотрудника собственника и (или) оператора по доступу к базе данных; — создание структурного подразделения, ответственного за обеспечение безопасности базы данных или возложение такой обязанности на существующее подразделение |
II степень защиты | — наличие угроз I типа и обработка специальной и (или) биометрической и (или) генетической информации и обработка общедоступной информации; — наличие угроз II типа и обработка специальных персональных данных менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора; — наличие угроз II типа и обработка биометрической и (или) генетической информации; — наличие угроз II типа и обработка общедоступной информации более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора; — наличие угроз III типа и обработка специальных персональных данных более 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора | — обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании; — обеспечение безопасности физических предметов, на которых хранятся персональные данные; — утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных; — обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты; — назначение ответственного должностного лица (сотрудника), обеспечивающего безопасность базы персональных данных; — предоставление права доступа к сведениям журнала электронных сообщений базы данных исключительно сотрудникам, осуществляющим соответствующие обязанности, а также уполномоченным лицам |
III степень защиты | — наличие угроз II типа и обработка общедоступной информации сотрудников собственники и (или) оператора и (или) обработка общедоступной информации менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора; — наличие угроз III типа и обработка специальных персональных данных сотрудников собственники и (или) оператора и (или) обработка специальных персональных данных менее 50 тыс. субъектов, не являющихся сотрудниками собственника и (или) оператора; — наличие угроз III типа и обработка биометрической и (или) генетической информации | — обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании; — обеспечение безопасности физических предметов, на которых хранятся персональные данные; утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных; — обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты; — назначение ответственного должностного лица (сотрудника), обеспечивающего безопасность базы персональных данных |
IV степень защиты | — наличие угроз III типа и обработка общедоступной информации | — обеспечение режима безопасности зданий, в которых находятся базы данных, предотвращение бесконтрольного доступа лиц, не имеющих право доступа к этому зданию и их нахождению в здании; — обеспечение безопасности физических предметов, на которых хранятся персональные данные утверждение собственником и (или) оператором круга лиц, имеющих доступ к базе данных; — обеспечение защиты от угроз, при необходимости использование средств информационной безопасности, прошедших оценку соответствия законодательству в сфере обеспечения информационной защиты |
Помимо перечисленного в документе правительства также утверждается Положение о требовании к материальным носителям, на которых записаны биометрические и генетические данные, а также требования к технологиям их хранения вне баз персональных данных.