Анализ Постановления №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

1 ноября 2012 года Дмитрий Медведев подписал Постановление Правительства №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», отменяющее действовавшее до этого ПП-781. Постановлением устанавливаются четыре уровня защищённости персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищённости производится в зависимости от вида персональных данных, который обрабатывает информационная система (специальные, биометрические, общедоступные, иные), типа актуальных угроз (1-й, 2-й, 3-й), количества обрабатываемых информационной системой субъектов персональных данных и от того, обрабатываются ли персональные данные о сотрудниках оператора.

Постановлением также устанавливается требование использования средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Эксперт Комиссии РАЭК по информационной безопасности и киберпреступности Алексей Лукацкий проанализировал отличия ПП-1119 от ПП-781. По его словам, новое постановление, при значительном количестве изменений (убрано больше половины всех требований, новых требований добавлено 5, 9 требований осталось без изменений, 3 требования ушло на уровень ФЗ-152), принципиально не повлияет на практику обработки персональных данных операторами. Функции ФСБ и ФСТЭК также остались без изменений. В целом эксперт оценивает Постановление скорее положительно в сравнении с предыдущей версией норматива. Однако ряд системных недостатков не были устранены. В частности, требование наличия контролируемой зоны (т.е. зоны, куда запрещен доступ посторонних) при обработке ПДн остался и остался на 4-м, минимальном уровне защищенности. Таким образом, применение мобильных технологий для обработки персданных вне помещений с контролируемым доступом теперь запрещено.

Сводная таблица отличий ПП-1119 и ПП-781 (.pdf, 235Кб)