После выхода ПП №1119 операторам персональных данных жить легче не стало

Премьер-министр РФ Дмитрий Медведев 1 ноября 2012 г. утвердил новые требования к защите персональных данных government.ru/gov/results/21355/. Постановлением № 1119 устанавливаются четыре уровня защищённости персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищённости производится в зависимости от вида персональных данных, который обрабатывает информационная система, типа актуальных угроз, количества обрабатываемых информационной системой субъектов персональных данных и от того, обрабатываются ли персональные данные о сотрудниках оператора.

Тему комментирует Сергей Борисов, ведущий инженер по ИБ департамента системной интеграции компании «Микротест»:

- Уже год все ждали новых постановлений правительства по защите персональных данных (ПДн). Одни надеялись на либерализацию требований, другим нужен был простой и понятный «мостик» между новой версией 152-ФЗ и подзаконными актами регуляторов. ПП № 1119 вышло, теперь вопрос в том, облегчило ли оно жизнь операторов ПНд? На мой взгляд – нет. Объясню, почему.

По сравнению с ПП №781 обязательных требований в документе стало меньше - 14 вместо 34. Они разделены по уровням защищенности. Но самое обременяющее требование - необходимость сертификации СЗИ - осталось обязательным для всех ИСПДн.

Следующий пункт - классификация ИСПДн. Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно - придется обращаться в вышестоящую организацию или к консультанту.

Ещё одна проблема: из-за отмены ПП №781 юридическую значимость потеряла большая часть документов ФСТЭК Р и ФСБ Р, разработанных во исполнение отмененного постановления. Без новых документов нельзя будет даже провести установление уровней защищенности. А значит, ПП №1119 пока бесполезно.

Что можно посоветовать операторам ПДн в связи с временным провалом в регулировании защиты ПДн? Разумеется, не следует откладывать долгосрочные работы по обеспечению безопасности персональных данных. А при их выполнении необходимо руководствоваться прежними регламентирующими документами. Стоит запланировать выполнение дополнительных работ после выхода новых документов ФСТЭК России и ФСБ России потребуется обновить модели угроз, утвердить уровни защищенности и провести предусмотренные ПП №1119 мероприятия, соответствующие утвержденному уровню защищенности.

В связи с выходом ПП №1119 хотелось бы рассмотреть ещё одну проблему с классификацией ИСПДн. Посмотрим на распространенные в любой компании процессы - просмотр справочника сотрудников, отправка писем коллегам, личные кабинеты пользователей на сайте, онлайн-формы для обращений пользователей. Какие ПДн обрабатываются в этих процессах? Имя, е-мейл, телефон - это общедоступные или обезличенные данные, полученные от самих субъектов ПДн.

В соответствии со старым тройственным приказом эти данные относились к четвертой категории, а содержащие их информационные системы - к 4 классу. Нарушение безопасности ПДн в этих ИС не приводит к негативными последствиям. Меры по защите таких систем оператор мог выбирать самостоятельно (например - использовались не сертифицированные СЗИ). Проводя классификацию по ПП №1119, мы вынуждены приравнивать эти ИСПДн к системам, содержащим паспортные или финансовые данные. Для защиты таких малоценных данных операторам придётся применять такие же сертифицированные средства защиты информации, что и для полноценных ИСПДн. Это приведет к увеличению количества систем, технических средств, пользователей которые надо защищать. А это значит, что увеличится бюджет на защиту ПДн.