Статья 19. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 08.08.2024) "О персональных данных"

1. Комментируемая статья конкретизирует порядок исполнения ключевой обязанности оператора персональных данных, заключающейся в реализации конкретных мер правового, организационного и технического характера, направленных на защиту таких свойств безопасности персональных данных, как:

- конфиденциальность - от возможных утечек (data breach) вследствие неправомерного или случайного доступа к ним неуполномоченных лиц; неправомерного копирования, предоставления, распространения персональных данных;

- доступность - от неправомерного блокирования или уничтожения, вследствие которых создается угроза возможности своевременного доступа пользователей информационной системы персональных данных к таким данным всегда, когда в этом возникает необходимость;

- целостность - от неправомерного изменения персональных данных, т.е. искажения их содержания.

Меры, указанные в комментируемой статье, могут относиться к одной из трех групп:

1) правовые (подготовка и принятие соответствующих локальных нормативных актов);

2) организационные (назначение ответственных лиц, обучение работников, непосредственно вовлеченных в процесс обработки персональных данных, правилам информационной безопасности и т.п.);

3) технические (набор мер, направленных как на уменьшение вероятности реализации угроз информационной безопасности вследствие уязвимости информационной системы, так и на минимизацию потерь при реализации таких угроз).

2. Для выполнения предусмотренной в п. 1 ч. 2 комментируемой статьи обязанности по определению угроз безопасности персональных данных необходимо разработать документ "Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных". При этом целесообразно руководствоваться следующими документами ФСТЭК:

- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК 14 февраля 2008 г.;

- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная ФСТЭК 15 февраля 2008 г.

При разработке модели угроз в литературе <1> рекомендуется следовать следующему алгоритму:

--------------------------------

<1> Практические рекомендации по соблюдению законодательства Российской Федерации о персональных данных образовательными организациями / Под ред. В.Д. Зыкова. М., 2015. С. 12.

1) определить уровень защищенности каждой используемой оператором информационной системы персональных данных в соответствии с критериями, указанными в Постановлении Правительства РФ от 1 ноября 2012 г. N 1119;

2) определить основные типы потенциальных нарушителей на основании анализа круга лиц, имеющих возможность доступа (санкционированного или несанкционированного) к информационным системам персональных данных; составить перечень доверенных лиц, актуальных нарушителей и проанализировать возможности актуальных нарушителей;

3) провести классификацию угроз безопасности персональных данных и составить их перечень.

В качестве ориентира может представлять интерес перечень угроз, приведенный Центральным банком РФ <1>, в который входят угрозы:

--------------------------------

<1> Указание Банка России от 10 декабря 2015 г. N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных".

- несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;

- воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;

- использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;

- несанкционированного доступа к отчуждаемым носителям персональных данных;

- утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;

- несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимых мест в организации защиты персональных данных;

- несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимых мест в программном обеспечении информационной системы персональных данных;

- несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимых мест в обеспечении защиты сетевого взаимодействия и каналов передачи данных;

- несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимых мест в обеспечении защиты вычислительных сетей информационной системы персональных данных;

- несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимых мест, появившихся из-за несоблюдения требований по эксплуатации средств криптографической защиты информации;

4) оценить вероятность реализации угроз экспертным методом (по каждой из угроз компетентное лицо по качественной шкале выдвигает оценочное заключение, основанное на его знаниях и опыте, а также специфике конкретных обстоятельств);

5) рассчитать вероятность реализации угроз, исходя из вероятности их реализации и уровня защищенности информационной системы персональных данных;

6) оценить экспертным методом опасность угрозы;

7) определить актуальность каждой из угроз и составить перечень актуальных угроз.

3. Перечень организационных и технических мер, необходимых согласно п. 2 ч. 2 комментируемой статьи для выполнения требований к защите персональных данных, в соответствии с уровнями защищенности персональных данных, установленными Правительством РФ, предусмотрен в следующих актах:

- Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" (о понятии средств криптографической защиты информации см. п. 2 Постановления Правительства РФ от 16 апреля 2012 г. N 313);

- Приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- Приказ ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах". Данный документ применяется наряду с вышеуказанными операторами, обрабатывающими персональные данные с использованием государственных информационных систем. В принципе, оператор может следовать указанным требованиям и для защиты информации, обрабатываемой в негосударственных информационных системах, при наличии на то его решения (п. 6 настоящего Приказа).

Перечисленные акты носят достаточно технический характер и адресованы преимущественно специалистам в области информационной безопасности.

Реализованные с учетом вышеуказанных документов технические меры защиты персональных данных целесообразно отразить в отдельном документе "Описание системы защиты персональных данных".

4. Применяемые средства защиты информации согласно п. 3 ч. 2 комментируемой статьи должны пройти процедуру оценки соответствия. Порядок и условия проведения процедуры оценки соответствия регулируются Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" (далее - Закон о техническом регулировании). В общем виде формы оценки соответствия указаны в следующей схеме <1>:

--------------------------------

<1> Данная схема взята из блога Алексея Лукацкого "Бизнес без опасности". URL: http://lukatsky.blogspot.de/2011/04/blog-post_08.html.

Госконтроль

и надзор

Аккредитация

Испытания

Добровольная

ОЦЕНКА сертификация

СООТВЕТСТВИЯ Регистрация

Обязательная

Подтверждение сертификация

соответствия

Декларирование

Приемка и ввод соответствия

в эксплуатацию

В иной форме

В ст. 2 Закона о техническом регулировании указано, что оценка соответствия заключается в прямом или косвенном определении соблюдения требований, предъявляемых к объекту согласно техническим регламентам, положениям стандартов, сводам правил или условиям договоров, по результатам чего выдается подтверждение соответствия. Подтверждение соответствия может быть добровольным или обязательным (ст. 20 Закона о техническом регулировании). Обязательное подтверждение соответствия проводится только в случаях, установленных техническим регламентом на основании соответствия его требованиям (п. 1 ст. 23 Закона о техническом регулировании). Отсутствие в настоящее время технических регламентов, устанавливающих требования к средствам защиты информации, используемым для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, делает невозможными как оценку соответствия, так и добровольное или обязательное подтверждение соответствия СЗИ <1>.

--------------------------------

<1> Данная позиция выражена, в частности, в письме Центрального банка РФ от 17 ноября 2011 г. N 015-16-9/4713.

Тем не менее на практике нередко возникает вопрос о том, предусмотрена ли законодательством обязательная сертификация средств защиты персональных данных, используемых оператором.

Обязательная сертификация предусмотрена, в частности, для таких информационных систем, как:

- средства шифрования и другие средства защиты информации, предназначенные для защиты сведений, содержащих государственную тайну (ст. 28 Закона РФ "О государственной тайне");

- средства защиты информации в государственных информационных системах (п. 11 Приказа ФСТЭК России от 11 февраля 2013 г. N 17);

- средства защиты информации в платежных системах, если оператором используются средства криптографической защиты информации российского производства (п. 2.9.1 Положения Банка России от 9 июня 2012 г. N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств").

В отношении средств защиты персональных данных в негосударственных информационных системах персональных данных законодательством РФ не устанавливается обязательного требования о прохождении процедуры оценки соответствия исключительно в форме обязательной сертификации, поэтому для указанных целей могут применяться средства защиты информации, прошедшие процедуру соответствия в любой из предусмотренных Законом о техническом регулировании форм. В случае использования оператором такой формы, как обязательная сертификация, средства защиты должны соответствовать п. 12 Приказа ФСТЭК России от 18 февраля 2013 г. N 21.

Кроме того, следует отметить, что действующее законодательство не предусматривает обязательной сертификации на соответствие требованиям по безопасности информации средств кодирования (шифрования), массово применяемых при передаче сообщений в сети Интернет для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании сети Интернет <1>.

--------------------------------

<1> Извещение ФСБ по вопросу использования несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет от 18 июля 2016 г. URL: http://www.fsb.ru/fsb/science/single.htm!id=10437738@fsbResearchart.html.

5. Использование для защиты персональных данных средств криптографической защиты информации не является обязательным, за исключением случаев, когда соответствующие угрозы не могут быть нейтрализованы только посредством таких средств:

- при передаче персональных данных по каналам связи, не защищенным от перехвата или иных несанкционированных воздействий на передаваемую информацию (в том числе посредством сети Интернет);

- при хранении персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть предотвращен некриптографическими методами и способами.

Соответствующие средства криптографической защиты информации должны пройти процедуру оценки соответствия. При этом перечень таких средств, сертифицированных ФСБ России, опубликован на официальном сайте Центра по лицензированию, сертификации и защите государственной тайны ФСБ России (www.clsz.fsb.ru).

6. Оценка эффективности принимаемых мер, упомянутая в п. 4 ч. 2 комментируемой статьи, может быть проведена оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится в сроки, определяемые оператором, но не реже чем один раз в три года <1>.

--------------------------------

<1> См. п. 17 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утв. Постановлением Правительства РФ от 1 ноября 2012 г. N 1119.

Форма оценки эффективности принимаемых мер, а также форма и содержание документов, разрабатываемых по результатам оценки, актами ФСТЭК не установлены, в связи с чем решение по форме оценки эффективности таких мер и документов, разрабатываемых по результатам оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных. В случае если привлекаемая для реализации мер по обеспечению безопасности персональных данных организация осуществляет техническое обслуживание шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, используемых оператором персональных данных, эта организация должна помимо лицензии ФСТЭК обладать лицензией ФСБ на осуществление подобного рода действий <1>.

--------------------------------

<1> Постановление Правительства РФ от 16 апреля 2012 г. N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".

Оценка эффективности мер по защите персональных данных может осуществляться в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения" <1>.

--------------------------------

<1> См. п. 3 информационного сообщения ФСТЭК России от 15 июля 2013 г. N 240/22/2637.

7. Учет машинных носителей персональных данных, упомянутый в п. 5 ч. 2 комментируемой статьи, является одной из мер, направленных на обеспечение их сохранности. Учет таких носителей является мерой, необходимой для информационных систем персональных данных 1-го и 2-го уровней защищенности (см. разд. 4 Приложения к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Приказа ФСТЭК от 18 февраля 2013 г. N 21). В отношении съемных видов машинных носителей (в том числе флешки, внешние жесткие диски, мобильные устройства и пр.) следует учитывать положения п. 7 Приказа ФСБ от 10 июля 2014 г. N 378, в соответствии с которым необходимо осуществлять:

а) хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов);

б) поэкземплярный учет машинных носителей персональных данных путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.

8. Обнаружение фактов несанкционированного доступа к персональным данным, упоминаемое в п. 6 ч. 2 комментируемой статьи, должно в соответствии с п. 8.7 Приказа ФСТЭК от 18 февраля 2013 г. N 21 обеспечиваться мерами по обнаружению (предотвращению) вторжений. Система обнаружения вторжений должна обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия. Такого рода системы можно разделить на две основные группы: 1) пассивные (Intrusion Detection System, IDS) и 2) активные (Intrusion Prevention System, IPS). В пассивной системе при обнаружении нарушения безопасности информация об этом записывается в лог (журнал событий) приложения, а сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. Активная система предпринимает ответные действия в ответ на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника, например для защиты от DDoS-атак <1>.

--------------------------------

<1> DDoS-атака (от англ. Denial of Service - отказ в обслуживании) - хакерская атака на информационную систему с целью довести ее до отказа, т.е. создание таких условий, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам) либо этот доступ затруднен.

Системы обнаружения вторжений позволяют отслеживать трафик в компьютерной сети и блокировать подозрительные потоки данных или осуществлять поведенческий анализ процессов на компьютере с целью выявления подозрительной активности. Требования к системам обнаружения вторжений в государственных информационных системах утверждены Приказом ФСТЭК России от 6 декабря 2011 г. N 638.

9. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, как техническая мера защиты персональных данных, упомянутая в п. 7 ч. 2 комментируемой статьи, может осуществляться посредством регулярного резервного копирования персональных данных.

10. Поскольку персональные данные являются разновидностью информации ограниченного доступа, то по общему правилу доступ к ним должен осуществляться в силу служебной необходимости и зависеть от характера выполняемой работником трудовой функции. С технической точки зрения это реализуется посредством установления моделей разграничения доступа к информационным системам персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных (п. 8 ч. 2 комментируемой статьи).

Разграничение доступа представляет собой совокупность правил, регламентирующих порядок и условия доступа субъекта к объектам информационной системы. Существуют две основные модели разграничения доступа:

1) мандатное разграничение доступа;

2) дискреционное разграничение доступа.

В мандатной модели обычные пользователи лишены возможности управлять настройками политики безопасности. Например, возможность доступа к тому или иному объекту определяется уровнем его конфиденциальности и уровнем допуска пользователя, которые жестко заданы для каждого пользователя и объекта. Данная модель обладает невысокой гибкостью и высокой трудоемкостью настройки политики безопасности, но при этом позволяет достичь высокого уровня управляемости безопасностью. К примеру, субъект "Пользователь N 2", имеющий допуск уровня "не секретно", не может получить доступ к объекту, имеющему метку "для служебного пользования". В то же время субъект "Пользователь N 1" с допуском уровня "секретно" право доступа к объекту с меткой "для служебного пользования" имеет.

В дискреционной модели управление доступом субъектов к информационным объектам базируется на том, что пользователи в том или ином объеме могут управлять настройками политики безопасности. Уровень допуска к тому или иному объекту определяется "суперпользователем" исходя из группы, к которой принадлежит субъект. Например, если субъект "Пользователь N 1" входит в группу "юристы", то он имеет доступ к сведениям о должниках. В то же время субъект "Пользователь N 2", входящий в группу "служба IT-поддержки", такого доступа не имеет. При этом формирование и назначение ролей работников организации следует осуществлять с учетом соблюдения принципа предоставления им минимальных прав и полномочий, необходимых для выполнения служебных обязанностей.

В качестве ориентира при имплементации модели разграничения доступа можно руководствоваться положениями п. 7 Стандарта Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (СТО БР ИББС-1.0-2014).

11. Все принимаемые оператором правовые, организационные и технические меры во многом утрачивают смысл, если отсутствует надлежащий контроль за их точной и своевременной реализацией. В этой связи п. 9 ч. 2 комментируемой статьи устанавливает необходимость осуществления контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. В частности, такой контроль может осуществляться посредством внутреннего и внешнего аудита, мониторинга реализации защитных мер, модификации системы безопасности по результатам проведенных аудитов.

12. В соответствии с ч. 3 комментируемой статьи Правительство РФ устанавливает виды угроз безопасности персональных данных, уровни защищенности персональных данных, требования к их защите с учетом необходимого уровня защищенности. Указанные элементы определяются с учетом возможного причинения вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных. Во исполнение требований комментируемой статьи было принято Постановление Правительства РФ от 1 ноября 2012 г. N 1119, утвердившее Требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - Постановление N 1119).

В самом общем виде алгоритм применения данного документа можно свести к следующим шагам:

1) определяются актуальные угрозы (всего три типа угроз);

2) в зависимости от типа угроз, а также от количества субъектов персональных данных, видов персональных данных (биометрические, специальные категории, общедоступные) определяется требуемый уровень защищенности (всего четыре уровня);

3) в соответствии с Приказом ФСБ N 378 и Приказом ФСТЭК N 21 оператором определяются состав и содержание конкретных организационных и технических мер по обеспечению безопасности ПД для каждого из четырех уровней защищенности.

Угрозы безопасности персональных данных определены в п. 6 Постановления N 1119:

- угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;

- угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;

- угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Уровни защищенности персональных данных установлены в п. п. 8 - 12 Постановления N 1119.

Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;

г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;

д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;

е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора;

г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;

д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.

Приведенные положения представлены в виде следующей таблицы <1>:

--------------------------------

<1> Настоящая таблица взята из кн.: Практические рекомендации по соблюдению законодательства Российской Федерации о персональных данных образовательными организациями / Под ред. В.Д. Зыкова. М., 2015. С. 13.

Количество субъектов

Категория данных

Категория субъектов

Актуальные угрозы

Уровень защищенности

Более 100 000

Специальные категории

Сотрудники

Угрозы 1-го типа

1

Угрозы 2-го типа

2

Угрозы 3-го типа

3

Несотрудники

Угрозы 1-го типа

1

Угрозы 2-го типа

1

Угрозы 3-го типа

2

Биометрические данные

Сотрудники и несотрудники

Угрозы 1-го типа

1

Угрозы 2-го типа

2

Угрозы 3-го типа

3

Иные категории

Сотрудники

Угрозы 1-го типа

1

Угрозы 2-го типа

3

Угрозы 3-го типа

4

Несотрудники

Угрозы 1-го типа

1

Угрозы 2-го типа

2

Угрозы 3-го типа

3

Общедоступные данные

Сотрудники

Угрозы 1-го типа

2

Угрозы 2-го типа

3

Угрозы 3-го типа

4

Несотрудники

Угрозы 1-го типа

2

Угрозы 2-го типа

2

Угрозы 3-го типа

4

Менее 100 000

Специальные категории

Сотрудники и несотрудники

Угрозы 1-го типа

1

Угрозы 2-го типа

2

Угрозы 3-го типа

3

Биометрические данные

Сотрудники и несотрудники

Угрозы 1-го типа

1

Угрозы 2-го типа

2

Угрозы 3-го типа

3

Иные категории

Сотрудники и несотрудники

Угрозы 1-го типа

1

Угрозы 2-го типа

3

Угрозы 3-го типа

4

Общедоступные данные

Сотрудники и несотрудники

Угрозы 1-го типа

2

Угрозы 2-го типа

3

Угрозы 3-го типа

4

13. Вследствие возможного наличия у операторов персональных данных определенной специфики в части обрабатываемых персональных данных и структурирования процессов их обработки ч. 5 комментируемой статьи предоставляет государственным органам, Банку России, государственным внебюджетным фондам право принимать в пределах своих полномочий нормативные правовые акты, в которых они могут определять угрозы безопасности персональных данных, актуальные для них. Такая возможность может использоваться, в частности, для подготовки перечня актуальных угроз для операторов (организаций), находящихся в сфере регулирования такого органа власти, или для защиты ведомственных информационных систем персональных данных. Такого рода нормативные акты должны быть согласованы с ФСБ и ФСТЭК. Существуют специальные Методические рекомендации ФСБ по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности <1>.

--------------------------------

<1> Утверждены Приказом ФСБ России от 31 марта 2015 г. N 149/7/2/6-432.

В качестве примера акта, разработанного в порядке, предусмотренном комментируемым положением, можно упомянуть Указание Банка России от 10 декабря 2015 г. N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных".

14. Часть 6 комментируемой статьи устанавливает, что ассоциации, союзы и иные объединения операторов могут определять дополнительные угрозы безопасности персональных данных с учетом специфики деятельности таких операторов. При этом, по всей видимости, под дополнительными угрозами безопасности следует понимать те из них, которые не являются основными, т.е. определенными Постановлением N 1119 и соответствующими подзаконными актами. Такого рода акты подлежат согласованию с ФСТЭК и ФСБ в порядке, установленном Постановлением Правительства РФ от 18 сентября 2012 г. N 940 "Об утверждении Правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю".

15. В соответствии с ч. 8 комментируемой статьи ФСТЭК и ФСБ в пределах своих полномочий (ФСБ - в части использования криптографических средств защиты информации, ФСТЭК - во всех остальных) вправе осуществлять контроль и надзор за выполнением организационных и технических мер при обработке персональных данных в государственных информационных системах персональных данных без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. При этом ни ФСТЭК, ни ФСБ не наделены полномочиями по проведению контрольно-надзорных мероприятий в отношении операторов персональных данных, не являющихся государственными или муниципальными органами. А Роскомнадзор не наделен полномочиями по проверке технических средств защиты персональных данных и, соответственно, не может требовать предоставления сертификатов на используемые оператором средства защиты <1>.

--------------------------------

<1> См. п. 67 Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утв. Приказом Минкомсвязи России от 14 ноября 2011 г. N 312.

В качестве исключений можно рассматривать случаи, предусмотренные ч. 9 комментируемой статьи, когда решением Правительства РФ ФСТЭК и ФСБ в отношении негосударственных информационных систем могут быть предоставлены полномочия по проведению проверок на предмет их соответствия техническим требованиям защиты информации без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. Такое решение должно приниматься Правительством РФ с учетом значимости и содержания обрабатываемых персональных данных.

16. Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных утверждены Постановлением Правительства РФ от 6 июля 2008 г. N 512. В частности, материальный носитель с биометрическими данными должен обеспечивать:

а) защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;

б) возможность доступа к записанным на материальный носитель биометрическим персональным данным, осуществляемого оператором и лицами, уполномоченными в соответствии с законодательством Российской Федерации на работу с биометрическими персональными данными;

в) возможность идентификации информационной системы персональных данных, в которой была осуществлена запись биометрических персональных данных, а также оператора, осуществившего такую запись;

г) невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.

При хранении биометрических персональных данных вне информационных систем персональных данных должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных. Оператор биометрических данных обязан:

а) осуществлять учет количества экземпляров материальных носителей;

б) присваивать материальному носителю уникальный идентификационный номер, позволяющий точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель;

в) использовать информационные технологии, позволяющие сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель, а также любой иной информации, имеющей отношение к ним.

Подробнее о биометрических данных см. комментарий к ст. 11 Закона о персональных данных.