ПП № 1119

Постановление Правительства РФ от 01.11.2012 N 1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»



Кого касается


Оператора осуществляющего обработку персональных данных


Лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации



Когда применяется


При обработке персональных данных в информационной системе персональных данных



Самое главное


Постановление Правительства N 1119  устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (ИСПДн) и уровни защищенности таких данных.



Сокращения и термины, используемые в НПА


Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)


Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств



Краткое изложение


Постановление Правительства N 1119  устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (ИСПДн) и уровни защищенности таких данных.


Безопасность персональных данных при их обработке в ИСПДн обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы. Исходя из этого должна быть разработана модель угроз. 


Система защиты персональных данных включает в себя организационные и технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в ИСПДн.


Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с Приказом ФСТЭК России N 21



Постановление Правительства N1119  определяет типы ИСПДн в зависимости от категории обрабатываемых персональных данных:  

  1. Информационная система, обрабатывающая специальные категории персональных данных - обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

  2. Информационная система, обрабатывающая биометрические персональные данные -  обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности;

  3. Информационная система, обрабатывающая общедоступные персональные данные - обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона N 152 "О персональных данных";

  4. Информационная система, обрабатывающая иные категории персональных данных -не относящиеся к первым трём категориям персональных данных.

  5. Информационная система, обрабатывающая персональные данные сотрудников оператора - обрабатываются персональные данные только указанных сотрудников.



Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность как уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.



Постановлением Правительства N 1119 определяются:


Угрозы 1-го типа - угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;

Угрозы 2-го типа - угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;

Угрозы 3-го типа - угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Определение типа угроз безопасности персональных данных, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона N152"О персональных данных"

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных:


1-ый уровень защищенности персональных данных при их обработке в ИСПДн устанавливается при наличии хотя бы одного из следующих условий:


а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;


б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.



2-ой уровень защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:


а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;


б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;


в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;


г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;


д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;


е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.



3-ий уровень защищенности персональных данных при их обработке в ИСПДн устанавливается при наличии хотя бы одного из следующих условий:


а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;


б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;


в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;


г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;


д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.



 4-ый уровень защищенности персональных данных при их обработке в ИСПДн устанавливается при наличии хотя бы одного из следующих условий:


а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;


б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.



Обеспечение защищенности персональных данных.


Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:


а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;


б) обеспечение сохранности носителей персональных данных;


в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;


г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.



Для обеспечения 3-го уровня защищенности персональных данных при их обработке в ИСПДн помимо выполнения требований, предусмотренных для обеспечение 4-го уровня защищенности, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в ИСПДн.



Для обеспечения 2-го уровня защищенности персональных данных при их обработке в ИСПДн, помимо выполнения требований, предусмотренных для обеспечение 3-го уровня защищенности, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.



Для обеспечения 1-го уровня защищенности персональных данных при их обработке в ИСПДн, помимо требований, предусмотренных для обеспечения 2-го уровня защищенности, необходимо выполнение следующих требований:


а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;


б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

Полная версия документа

Оставьте заявку на  бесплатную консультацию