ИБ-меры по 152-ФЗ
Защита персональных данных в РФ строится на требованиях ФЗ № 152 «О персональных данных» с учётом требований к информационной безопасности, закреплённых в ст. 19 ФЗ-152 и подзаконных актах регуляторов (ФСТЭК России, ФСБ России). Соблюдение этих норм обязательно для всех операторов ПДн: от государственных органов до малого бизнеса.
Требования к обеспечению ИБ при обработке ПДн
Согласно п. 8 ч. 1 ст. 19 ФЗ-152, оператор обязан обеспечивать безопасность персональных данных при их обработке в информационных системах (ИС) с использованием средств защиты информации — сертифицированных по требованиям доверия ФСБ России или ФСТЭК России.
Если ИС имеет класс защищённости не ниже 4-го (для государственных органов), к ней предъявляются требования приказа ФСТЭК №239: обязательная классификация ИСПДн, выбор модели угроз и применение определённого перечня средств защиты. Для объектов КИИ 1-й категории (к которым относятся госорганы) требуется проведение аудита защищённости не реже одного раза в год с составлением заключения.
Порядок классификации информационной системы
Классификация ИС — этап, определяющий уровень требований к защите. Решение принимает руководитель оператора или уполномоченный орган.
Для ИСПДн классифицируются:
- Количество учётных записей (от 0 до 5 тыс.) и объём обрабатываемых ПДн.
- Категория значимости объекта (1–4).
- Для госсектора — соответствие типовой модели угроз ФСТЭК России, утверждённой приказом № 138.
Классификация оформляется протоколом; сроки внесения изменений: не позднее трёх месяцев с момента ввода в эксплуатацию или изменения состава/функций ИС.
Средства защиты информации (СЗИ)
Выбор и применение СЗИ должно соответствовать требованиям приказов ФСТЭК России: — для КИИ, ИСПДн, ТСП — по классам 1–6 (в зависимости от значимости); — средства антивирусной защиты должны быть включены в реестр ФСТЭК; — межсетевые экраны (МЭ), средства обнаружения вторжений, СЗИ класса КС2 и выше — только после обязательной сертификации.
Срок действия сертификатов соответствия для СЗИ — до 3 лет; продление проводится на основании экспертизы или проведения новых испытаний. Использование несертифицированных средств в ИС с классом защищённости 4–5 запрещено.
Контроль и аудит информационной безопасности
Защита считается обеспеченной только при наличии результатов проверки:
- Акт классификации ИСПДн (формируется комиссией, срок — до 3 месяцев).
- Заключение ФСТЭК России о соответствии защиты требованиям приказа № 239 (для госсектора — ежегодный аудит).
Неотъемлемой частью контроля является журнал учёта инцидентов ПДн: в нём фиксируются дата, время, описание, принятые меры и результат. Срок хранения журнала — не менее 5 лет.
Ответственность за нарушения ИБ-мер
Нарушение требований к защите персональных данных квалифицируется по ст. 13.11 КоАП РФ (административная ответственность) и ст. 272–274.1 УК РФ (уголовная).
Административные штрафы (ст. 19.7, 13.11 КоАП РФ): — для должностных лиц: от 5 тыс. до 10 тыс. руб.; — для юридических лиц: от 50 тыс. до 100 тыс. руб.
Уголовная ответственность за неправомерный доступ к ПДн (ст. 272 УК РФ) или их использование в корыстных целях — штраф до 300 тыс. руб., ограничение свободы на срок до 4 лет, лишение свободы до 6 лет; при тяжких последствиях — до 10 лет.
За неисполнение требований по классификации ИС и применению СЗИ применяются штрафы по ст. 19.7 КоАП РФ: для должностных лиц — от 3 тыс. до 5 тыс. руб., для юрлиц — от 10 тыс. до 100 тыс. руб.
Что важно запомнить
- Сертификация и аудит обязательны для ИС с классом не ниже 4 по ПДн (для госсектора).
- Классификация системы проводится единожды, далее — при изменениях в составе ИС или функциях.
- Средства защиты должны быть сертифицированы ФСТЭК: СЗИ класса КС2 и выше для ИСПДн; МЭ с сертификатом ФСБ/ФСТЭК — во всех случаях.
- Контроль: журнал инцидентов ведётся 5 лет, итоговый акт проверки безопасности должен быть согласован с ФСТЭК.
- Риски: штрафы до 100 тыс. руб., для юрлиц — вплоть до уголовной ответственности при тяжких последствиях; своевременное внедрение СЗИ и аудит снижают угрозу штрафов.