Постановление Правительства РФ №1119 стало ключевым документом, который устанавливает требования к защите персональных данных в информационных системах. Этот акт является дополнением к 152-ФЗ, вводя конкретные меры безопасности, которые необходимо реализовать для защиты информации от современных угроз.
Как соответствовать новым требованиям
Первостепенной задачей для операторов персональных данных является правильная оценка уровня защищенности своей информационной системы. В зависимости от определённого уровня, вариаций четыре, необходимо устанавливать различные меры защиты. Компании часто ошибаются, либо завышая, либо занижая требуемый уровень, что ведет к неоправданным расходам или уязвимостью к угрозам.
Для определения уровня защищенности важно опираться на актуальные модели угроз. В случае затруднений с их разработкой, рекомендуется обратиться за независимым аудитом системы защиты.
Актуализация документов и процедур
Необходимо регулярно обновлять важные документы, такие как политика обработки персональных данных, регламенты контроля доступа и оперативные инструкции по реагированию на инциденты. Эти документы должны быть не формальными, а практическими и действующими. Их пересмотр становится особенно актуальным при изменении архитектуры системы или способов обработки данных.
Последствия несоответствия требованиям
Компании, не соблюдающие требования Постановления, могут столкнуться с серьезными штрафами по статье 13.11 КоАП РФ. В зависимости от нарушений, санкции могут варьироваться:
- От 30 000 до 60 000 рублей — за обработку данных с нарушением 152-ФЗ (например, отсутствие необходимых мер защиты).
- От 40 000 до 90 000 рублей — за ненадлежащее исполнение обязанностей оператора (например, за невыполнение требований по предоставлению информации субъекту и за нарушения сроков блокирования/удаления данных).
- От 300 000 до 500 000 рублей — за повторные нарушения или совокупность выявленных несоответствий.
