Фз 1119 о персональных данных

Фз 1119 о персональных данных

Что такое персональные данные и как регулируется работа с ними?

Персональные данные являются неотъемлемой частью функционирования любой организации, начиная от крупных коммерческих организаций, заканчивая различными интернет-ресурсами. Работа с клиентами, обеспечение трудовой деятельности собственных сотрудников, персонифицированные отзывы на сайтах – все это обработка персональных данных. Правильная обработка и своевременное обеспечение защиты персональных данных – гарантия снижения информационных рисков, а также меньших вопросов со стороны государственных регуляторов.

Основным документом, регулирующим рассматриваемый вид деятельности, является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон). Что же такое персональные данные? Чаще всего люди понимают под данным термином некую информацию, содержащуюся в официальных документах лица (паспортные данные, данные из трудовой книжки, финансовые данные и т.п.).

В самом законе прописано, что персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Исходя из определения, кроме официальных документов в указанную категорию могут включаться и сведения, которые при первом просмотре не производят впечатления относящихся к персональным данным.

Примеры персональных данных

Так, например, размещение на сайте отзыва о компании с указанием фамилии менеджера, который вел обслуживание, говорит об обработке персональных данных, ведь в рассматриваемом случае в отзыве косвенно упоминается конкретная личность (фамилия, должность, место работы). На размещение такой информации требуется согласие этого менеджера как субъекта персональных данных. В иных случаях публикация сведений является нарушением законодательства РФ и может грозить блокировкой сайта в случае непринятых вовремя мер.

Другой случай. На сайте присутствует форма обратной связи. Для того, чтобы ею воспользоваться, пользователю необходимо указать минимальный перечень данных: имя, номер телефона. Обработка таких данных позволяет обеспечить взаимосвязь между пользователями и сайтом, таких данных достаточно для обеспечения «таргетированной» рекламы, что уже говорит об их принадлежности к конкретному лицу. Использование таких сведений несет обязанность соблюдать требования Закона.

В любом случае, всегда необходимо внимательно относиться к той информации, которую Вы обрабатываете, ибо даже если Вы считаете, что не работайте с персональными данными, то субъект и Регуляторы могут решить иначе. Как говорится, незнание законов не освобождает от ответственности: Вас могут причислить к категории операторов персональных данных.

Оператор персональных данных

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Сразу стоит оговорить, что для обработки персональных данных не существует отдельных лицензий и сертификатов. Оператором персональных данных может стать любой желающий, требования к оператору предъявляются только если он начал обработку персональных данных.

Нормы при обработке персональных данных

В самом простом случае (если обрабатываются персональные данные только на бумажных носителях) законными основаниями обработки персональных данных являются либо согласие субъектов персональных данных, либо заключенный договор, для исполнения которого необходима обработка персональных данных. Требованием в данном случае является принятие ряда внутренних документов по организационной защите персональных данных (инструкции), а также принятия Политики об обработке и обеспечении безопасности персональных данных (либо же Положения об обработке персональных данных сотрудников, если лицо не работает с клиентами – физ. лицами).

Если ведется обработка с помощью информационных систем, то к лицу кроме вышеуказанных требований предъявляются требования Постановления Правительства № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказа № 21 ФСТЭК России, которые обязуют лицо проводить мероприятия по защите данных информационных систем, а также провести оценку эффективности принятых по защите мер.

Легитимная обработка персональных данных с помощью информационных систем

Для выполнения законодательных требований к обработке персональных данных с помощью информационных систем у лица существует несколько вариантов, в том числе:

  1. Аутсорс, т.е. привлечение лицензиата на деятельность по технической защите конфиденциальной информации;
  2. Самостоятельное получение лицензии по указанному виду деятельности, т.к. только лицензиат на деятельность по технической защите конфиденциальной информации имеет право осуществлять монтаж, настройку средств защиты информации и проводить оценку эффективности системы защиты персональных данных, а также оценку соответствия средств защиты информации.
Что такое обработка персональных данных

И тут возникает вопрос, что такое обработка персональных данных, какие действия и мероприятия подразумевает данное понятие. Согласно все тому же Закону обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Виды обработки персональных данных

Обработка персональных данных может быть, как автоматизированной, т.е. с применением средств вычислительной техники, либо неавтоматизированной – без использования таковых.

Подготовка шаблонов документов, переменная часть которых включает в себя персональные данные, на компьютере, при этом заполнение персональных данных прописью и хранение подготовленных документов в шкафу является неавтоматизированной.

В случае заполнения переменной части при помощи компьютера обработка будет считаться автоматизированной, даже если документы не будут храниться на компьютере. Размещение персональных данных на сайте, внесение данных в таблицу и более сложные технологические процессы представляют собой примеры автоматизированной обработки.

Принципы обработки персональных данных

Обработка персональных данных должна осуществляться при соблюдении следующих принципов (перечисленные далее принципы выполняются одновременно):

  1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
  2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
  5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
  6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры, либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
  7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Читайте также:  Людмила проскурина белгород одноклассники
Случаи допущения обработки персональных данных

Обработка персональных данных допускается в следующих случаях:

  1. Осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
  2. Необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
  3. Осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
  4. Необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта).
  5. Необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.
  6. Необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
  7. Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
  8. Необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
  9. Необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
  10. Осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных.
  11. Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
  12. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
В каких случаях 152-ФЗ не распространяется

Следует отметить, что не все вопросы в сфере персональных данных базируются на 152-ФЗ. Так, деятельность Закона не распространяется при:

  • обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных (не следует распространять данные без согласия супруга);
  • организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
  • обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Категории персональных данных

Требования к обработке персональных данных зависят также и от непосредственно от той информации, действие с которыми совершает оператор. Всего существует четыре категории персональных данных: общедоступные, специальные, биометрические и иные.

К общедоступным персональным данным относятся те сведения, которые были открыты самим субъектом персональных данных, например, опубликовал и распространил о себе сведения путем размещения их на своей странице в социальных сетях (в Интернете). Существует также ряд общедоступных источников (справочники и адресные книги), формирование которых требует письменного согласия субъекта. Такие данные оператор может использовать без личного согласия субъекта. Стоит отметить, что по отзыву согласия или же при удалении данных со страницы в Интернете оператор обязан прекратить обработку таких данных.

Наиболее ценными для субъекта персональных данных является категория специальных данных. Сюда относятся сведения, касающееся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни человека. В виду их ценности в большинстве случаев обработка таких данных допускается только при наличии письменного согласия субъекта. Без письменного согласия в силу своих полномочий специальную категорию могут обрабатывать медицинские, религиозные учреждения, государственные и муниципальные органы власти. Но следует сказать, что письменное согласие является гарантом законной обработки таких данных.

Отдельной категорией выделяют биометрические персональные данные. Это те сведения, которые характеризуют физиологические и биологические особенности человека и на основании которых можно установить его личность. Такие сведения могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключения случаев, связанных с противодействием терроризмом, обеспечением безопасности и оперативно-розыскной деятельности.

Остальные сведения, не входящие в состав уже рассмотренных, и предоставляемые только оператору, относятся к иным. ФИО, паспортные данные, трудовая книжка, финансовые данные и т.п. сотрудника или клиента и отданные на обработку определенному кругу лиц классифицируются как иные.

Согласие на обработку персональных данных

Ключевым элементов взаимодействия между оператором и субъектом персональных данных является согласие. Согласие на обработку персональных данных может быть дано субъектом его представителем в любой позволяющей подтвердить факт его получения форме, за исключением случаев, когда требуется письменное согласие. Электронный документ, подписанный ЭП, является равнозначным письменному согласию

Письменное согласие должно включать в себя следующие реквизиты:
  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись субъекта персональных данных.
Читайте также:  Конфликт интересов в коммерческой организации увольнение сотрудников

Согласие не требуется в случае, если соблюдаются иные условия обработки персональных данных.

Требования к оператору персональных данных

Обработка персональных данных накладывают на оператора ряд обязанностей. В первую очередь, оператор должен выполнять законодательство. Оператор сам определяет каким способом и какими мерами это делать, за исключением случаев, когда Закон предъявляет требования. Ряд основных требований предоставлен ниже:

  • назначить ответственное за обработку персональных данных лицо;
  • издать Политику обработки персональных данных и ряд уточняющих её документов, Политика должна быть общедоступным документом, т.е. либо опубликована на сайте оператора, либо на стендах, либо другим возможным способом;
  • защищать персональные данные;
  • осуществлять контроль внутренних процессов, связанных с обработкой персональных данных, в том числе обучить своих сотрудников работе с персональными данными;
  • оценить вред субъектам, в случае нарушения Закона.
Органы, контролирующие легитимность обработки персональных данных

Контроль за выполнением требований Закона в силу своих полномочий осуществляют следующие органы государственной власти:

  • Роскомнадзор (уполномоченный орган по защите прав субъектов персональных данных) в части, касающейся процессов обработки персональных данных, их организационной и технологической составляющей, её законности;
  • ФСТЭК, в части технической защиты информационных систем персональных данных;
  • ФСБ России, в части криптографической защиты информации.

Кроме того, существует ряд специализированных органов, которые также могут заинтересоваться обработкой персональных данных, если оператор попадает в их сферу деятельности, например, ЦБ, Роструд, Роспотребнадзор.

Информационные системы персональных данных и уровни их защищенности

В случае обработки персональных данных с помощью средств вычислительной техники такие системы называются информационными системами персональных данных (далее — ИСПДн). В зависимости от категории обрабатываемых данных, от количества субъектов и от актуальных угроз ИСПДн могут относится к одному из четырех уровней защищенности, представленных в таблице ниже.

Учитывая, что ПП-1119 было принято в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. 152-ФЗ «О персональных данных» (далее — 152-ФЗ) в той редакции, которая распространяется на правоотношения, возникшие с 1 июля 2011 года, требования ПП-1119 обязательны к исполнению для информационных систем персональных данных (далее – ИСПДн ), созданных с 1 июля 2011 года. В отношении ИСПДн , созданных до 1 июля 2011 года, применимы как требования ПП-1119, так и требования ПП-781.

Новым ПП-1119 установлены:

В соответствии с ПП-1119 оператору или лицу, осуществляющему обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора, необходимо создать систему защиты персональных данных, обеспечивающую безопасность персональных данных, включающую организационные и (или) технические меры, которые определяются с учетом:

В ПП-1119 установлены как новые требования к операторам, так и требования, ранее закрепленные в других нормативных правовых актах:

1. Необходимо включить в договор между оператором и уполномоченным лицом обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в ИСПДн 1) .

5. Необходимо разработать документ, на основании которого можно оценить возможный вред субъектам персональных данных в случае нарушения 152-ФЗ 4) .

6. Необходимо установить количество субъектов, персональные данные которых обрабатываются в каждой ИСПДн (больше 100 000 или меньше 100 000).

7. Необходимо определить, какой уровень защищенности персональных данных из четырех возможных необходимо обеспечивать при их обработке в ИСПДн (см.Таблицу 1) на основании:

8. Выполнить требования, предусмотренные в ПП-1119, для обеспечения соответствующего уровня защищенности персональных данных (см. Таблицу 2).

9. Оператору (уполномоченному лицу) необходимо не реже 1 раза в 3 года организовывать и проводить контроль за выполнением указанных требований (самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Руки, давно тянувшиеся к клавиатуре по поводу нового шедевра нормативного регулирования, уже отбиты до костей. Больше сдерживать себя и терпеть не удается. Придется написать. Тем более, что сегодня Постановление от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", которое отменяет Постановление от 17.11.2007 № 781вступает в силу. Семь дней со дня опубликования истекают.

Если честно, реакция коллег из профессионального сообщества на новое постановление, фактически определяющего систему построения технической безопасности обработки персональных данных в информационных системах, меня не просто удивила, а, скорее, озадачила. Части, и немалой, оно понравилось, поскольку не содержит, по их мнению, ничего принципиально нового, и гайки дальше не закручивает, а количество требований по сравнению с ПП-781 даже уменьшается. Другая часть коллег документ ругает, но очень обще, в основном за отсутствие конкретики.

У меня о требованиях сложилось несколько иное мнение, я кратко высказывал его на сегодняшнем вебинаре, проводившемся нашим агентством совместно с компанией «Код Безопасности», и количество вопросов, поступивших по этому поводу, окончательно подтолкнуло меня к написанию этого поста.

Для того, чтобы систематизировать свое видение, я придумал несколько полочек, по которым свою оценку документа и разложу. Извините, букв будет много. Очень. Слова тщательно подбирал, так что категория читающих может быть и 0+.

Полочка первая. Соответствие закону. Выпускв свет ПП-1119 является прямым требованием пунктов 1 и 2 части 3 ст.19 новой редакции 152-ФЗ «О персональных данных». Именно это позволяет мне очень резко оценить состояние дел на этой полочке. Постановление Правительства закону не соответствует. Закон предписывал определить уровни защищенности и требования к ним в зависимости от пяти факторов:

· возможного вреда субъекту персональных данных,

· объема обрабатываемых персональных данных,

Читайте также:  Медицинская справка для вуза образец

· содержания обрабатываемых персональных данных,

· вида деятельности, при осуществлении которого обрабатываются персональные данные,

· актуальности угроз безопасности персональных данных.

Виды деятельности, и, что особенно важно, вред субъекту в принятом документе вообще отсутствуют как квалифицирующие признаки. В п.7 Требований оператору «совсем не гуманно», по другому сказать не могу, предлагается самостоятельно определить тип угроз безопасности персональных данных, актуальных для информационной системы, с учетом оценки возможного вреда, руководствуясь несуществующими пока документами ФСБ и ФСТЭК. Т.е. зав.детсадом или начальник отдела автоматизации трубопрокатного завода (поскольку заниматься подобными проблемами в подобных организациях больше просто некому) будут оценивать вред от разглашения данных персонала, воспитуемых, посетителей и их родственников. При полном отсутствии в стране методических наработок по этой проблеме. Тот, кто хоть немного сталкивался с подобными вопросами, знает, что проблема определения размера вреда при нарушении гражданских прав является одной из самых сложных в юриспруденции и судопроизводстве. Но, видимо, вспомнив классический постулат о возможностях каждой кухарки, авторы решили, что решить проблему можно краудсорсингом. Операторов-то по оценке Роскомнадзора – порядка семи миллионов. Глядишь, чего и наизобретают. Классический пример перекладывания проблемы с одной головы на другую, сами знаете, каких.

С видами деятельности тоже засада. Принимая во внимание, что новая редакция закона не оставляет места для отраслевых стандартов работы с персональными данными, учитывать эти самые виды придется одним только способом – придумывая для них дополнительные к изобретенным ФСБ и ФСТЭК угрозы безопасности, что, собственно, и прописано в частях 5 и 6 той же статьи 19 закона. Точка. Только определить новые угрозы, а не предусмотреть какие-либо послабления, подобные тем, что в свое время согласовал со ФСТЭКом Минздрав в своих методических документах.

Полочка вторая. Методология. Полочка самая …плохо повешенная. Так как в методологии – самые главные, ключевые проблемы документа. Объявляя главными угрозами, неминуемо ведущими к установлению высших уровней защищенности (см. таблицу 1), недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, Требования не предлагают вообще никаких методов и способов их нейтрализации. Ибо такими способами может быть только проверка этого самого ПО на отсутствие закладок и прочих вредных привычек. А этого от операторов, во всяком случае в ПП-1119 никто не требует.

Тип ИСПДн

Сотрудники оператора

Количество субъектов

Тип актуальных угроз

1

2

3

Лечиться от логических бомб, бэк-доров и иной нечисти предлагают старыми проверенными методами — клистиром с патефонными иголками и гипсованием непереломанных конечностей. См. таблицу 2.

Требования

Уровни

защищенности

1

2

3

4

Режим обеспечения безопасности помещений, где обрабатываются персональные данных

Сохранность носителей персональных данные

Перечень лиц, допущенных к персональным данным

СЗИ, прошедшие процедуру оценки соответствия

Должностное лицо, ответственное за обеспечение безопасности персональных данных в ИСПДн

Ограничение доступа к содержанию электронного журнала сообщений

Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным

Структурное подразделение, ответственное за обеспечение безопасности персональных данных

Каким образом использование сертифицированных межсетевых экранов и назначение ответственного подразделения (или ответственного лица) может помочь предотвратить воздействие операционной системы на обрабатываемые данные знают, видимо, только авторы.

Полочка третья. Терминология. А это – самая загадочная часть документа. Откуда появились «сотрудники оператора» и почему они не работники, правовой статус которых четко описан Трудовым кодексом – вопрос простой и очевидный. А вот что такое «электронный журнал сообщений» (п.15) и чем он отличается от «электронного журнала безопасности» (п.16), если отличается вообще – тайна есть великая. Я догадываюсь, что речь идет о логах. Логах чего? ОС? БД? Приклада? СЗИ? Всего вместе или чего-то в отдельности? Вопросы без ответов.

Постановление вводит отсутствующее в законе понятие информационной системы, обрабатывающей общедоступные персональные данные, и считает таковыми полученные только из общедоступных источников персональных данных, созданных в соответствии со ст.8 152-ФЗ.

А если они получены по-другому, например, если это сведения, подлежащие опубликованию и обязательному раскрытию, как сведения из ЕГРЮЛ и ЕГРИП, являющиеся общедоступными в соответствии с Федеральным законом о государственной регистрации юрлиц и индивидуальных предпринимателей. Или сведения об аффилированных лицах эмитента ценных бумаг. Или персональные данные кандидатов в депутаты, подлежащие опубликованию. Как быть с ними? Опять вопрос, не имеющий ответа.

Наконец, оценка соответствия. Термин, не имеющий пояснений применительно к СЗИ ни в одном акте, кроме закрытого Постановления № 330, продолжает кочевать по нормативной базе. Но даже если это Постановление оператор видел, понять, каким образом осуществляется оценка соответствия в ходе государственного контроля и надзора, ему не дано. И оценить последствия ожидания прихода контролера и его поведения при виде несертифицированных средств тоже. Ну, и не будем забывать, что в новой редакции закона нормативные правовые акты, касающиеся обработки персональных данных, подлежат официальному опубликованию.

Полочка четвертая. Применимость. Постановление может заработать в полном объеме только после принятия соответствующих актов ФСБ и ФСТЭК, предусмотренных ч.4 ст.19 152-ФЗ, а также федеральными органами исполнительной власти, осуществляющими функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, Банка России, органов государственных внебюджетных фондов, иных государственных органов в части определения актуальных угроз безопасности персональных данных (ч.5 ст.19 152-ФЗ, п.2 Требований), которые отсутствуют и неизвестно когда будут приняты. Оператору в этих условиях выполнить установленные требования практически невозможно. Возвращаюсь к заведующей детсадом и начальнику отдела автоматизации трубопрокатного завода. Кто объяснит первой, что такое «недекларированные возможности системного программного обеспечения» и по каким признакам она будет оценивать актуальность этой угрозы? Что может заставить второго эти угрозы признать для своего завода актуальными и взвалить на себя дополнительные проблемы? Как они будут оценивать вред, о котором писалось при разборе первой полочки? Подождем документов ФСБ и ФСТЭК. Что-то мне подсказывает, что просто так отказаться от нейтрализации недекларированных возможностей не удастся. Банки и телеком в конце концов с этим разберутся. А что делать остальным, не имеющим профильных специалистов и лицензий ФСБ/ФСТЭК – школам и вузам, больницам и поликлиникам, ЗАГСам и центрам занятости населения, и пр., и пр.? Ничего, кроме оторопи, подобный документ у них вызвать не может.

Ссылка на основную публикацию
Adblock detector