Постановление Правительства РФ №1119 стало значимым шагом в сфере защиты персональных данных и определяет требования к безопасности информации в информационных системах персональных данных (ИСПДн).
Данный нормативный акт дополняет закон 152-ФЗ, устанавливая четкие практические указания о том, какие меры безопасности должны принимать операторы для защиты своих систем от различных угроз.
Как добиться соответствия требованиям №1119
Для того чтобы обезопасить свои информационные системы, необходимо следовать нескольким ключевым принципам:
- Определить уровень защищенности – Важно грамотно определить необходимый уровень защиты для системы, содержащей персональные данные. Существует четыре уровня, и каждая категория требует специфических мер безопасности. Часто операторы ошибаются, завышая или занижая необходимый уровень защиты, что может привести к лишним затратам или, напротив, угрожать безопасности данных.
- Провести проверку уровне защищенности – Оценка рисков должна основываться на актуальной модели угроз для ИСПДн. Если у компании недостаточно квалификации для создания подобной модели, стоит рассмотреть возможность привлечения независимых аудиторов.
Поддержка актуальности документов и политик
Важно не просто формировать документы по формальному признаку, а иметь в наличии рабочие материалы, такие как:
- Политики обработки персональных данных,
- Регламенты контроля доступа,
- Данные по модели угроз и порядок реагирования на инциденты.
Эти документы следует пересматривать при изменении архитектуры системы или составлении новых способов обработки персональных данных.
Последствия игнорирования обязательств
Несоблюдение требований Постановления 1119 может привести к серьезным санкциям, предусмотренным статьей 13.11 Кодекса об административных правонарушениях РФ. Штрафы могут варьироваться в следующем диапазоне:
- От 30 000 до 60 000 рублей – за обработку персональных данных с нарушением закона 152-ФЗ.
- От 40 000 до 90 000 рублей – за несоблюдение обязанностей по предоставлению информации субъектам данных.
- От 300 000 до 500 000 рублей – за повторные нарушения или совокупность несоответствий.
