Постановление Правительства № 1119
Постановление Правительства № 1119 — это нормативный правовой акт Российской Федерации, утверждающий требования к мерам защиты информации, содержащейся в государственных информационных системах (ГИС). Документ был принят 1 ноября 2012 года и вступил в силу 1 января 2013 года. Полное официальное название — «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Несмотря на название, фактически постановление устанавливает единые правила обеспечения безопасности информации для всех государственных информационных систем, обрабатывающих персональные данные граждан РФ.
История принятия
Необходимость принятия постановления возникла в связи с вступлением в силу Федерального закона № 152-ФЗ «О персональных данных» (2006 год), который требовал от операторов персональных данных обеспечивать их конфиденциальность и безопасность. Однако до 2012 года отсутствовали единые технические и организационные требования для государственных систем. Постановление № 1119 было разработано Министерством связи и массовых коммуникаций РФ (ныне Министерство цифрового развития, связи и массовых коммуникаций) совместно с Федеральной службой по техническому и экспортному контролю (ФСТЭК России) и Федеральной службой безопасности (ФСБ России). Документ заменил собой ранее действовавшее Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённое постановлением Правительства РФ от 17 ноября 2007 года № 781.
Структура и основные положения
Постановление № 1119 состоит из 21 пункта и определяет четыре ключевых аспекта защиты персональных данных в ГИС:
Классификация информационных систем
Документ вводит четыре уровня защищённости персональных данных (УЗ-1, УЗ-2, УЗ-3, УЗ-4), которые присваиваются системе в зависимости от:
- категории обрабатываемых персональных данных (специальные, биометрические, общедоступные, иные);
- количества субъектов персональных данных (до 100 000 или более 100 000);
- типа обрабатываемых данных (только фамилия, имя, отчество; или полный набор).
Например, УЗ-1 присваивается системам, обрабатывающим специальные категории персональных данных (состояние здоровья, национальность, религиозные убеждения) более чем 100 000 субъектов. УЗ-4 — системам, обрабатывающим только общедоступные данные менее чем 100 000 субъектов.
Требования к мерам защиты
Для каждого уровня защищённости устанавливается минимальный набор мер, включающий:
- Организационные меры: назначение ответственного за защиту персональных данных, разработка политики обработки, проведение внутреннего аудита.
- Технические меры: использование средств криптографической защиты информации (СКЗИ), сертифицированных ФСБ России; применение систем обнаружения вторжений; антивирусная защита; контроль целостности программного обеспечения.
- Физические меры: ограничение доступа в помещения с серверным оборудованием, установка систем видеонаблюдения и контроля доступа.
Процедуры оценки соответствия
Постановление обязывает операторов ГИС проводить оценку эффективности принятых мер защиты не реже одного раза в три года. Оценка может выполняться как собственными силами, так и с привлечением лицензированных организаций (например, аккредитованных ФСТЭК России испытательных лабораторий).
Особые случаи
Документ содержит исключения для систем, обрабатывающих персональные данные в целях национальной безопасности, обороны, оперативно-розыскной деятельности, а также для систем, содержащих государственную тайну. Для таких систем применяются отдельные нормативные акты (например, Закон РФ «О государственной тайне»).
Взаимосвязь с другими нормативными актами
Постановление № 1119 является частью системы нормативных документов в области защиты персональных данных в РФ. Оно дополняется:
- Федеральным законом № 152-ФЗ — устанавливает общие принципы обработки персональных данных.
- Приказом ФСТЭК России № 21 (от 18 февраля 2013 года) — детализирует состав и содержание организационных и технических мер по обеспечению безопасности персональных данных.
- Методическими рекомендациями Роскомнадзора (например, по уведомлению об обработке персональных данных).
- Постановлением Правительства РФ № 1119 — является основным для государственных информационных систем, тогда как для коммерческих организаций действуют более гибкие требования, установленные приказом ФСТЭК № 21.
Практика применения и контроль
Контроль за соблюдением требований постановления осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Проверки проводятся в плановом порядке (не чаще одного раза в три года) и внепланово (по жалобам граждан или по поручению прокуратуры). Нарушение требований влечёт административную ответственность по статье 13.11 КоАП РФ (штраф для должностных лиц — от 5 000 до 10 000 рублей, для юридических лиц — от 30 000 до 50 000 рублей).
На практике постановление № 1119 стало основой для создания систем защиты персональных данных в таких государственных информационных системах, как:
- Единый портал государственных и муниципальных услуг (ЕПГУ);
- Федеральная государственная информационная система «Единый реестр записей актов гражданского состояния» (ФГИС «ЕГР ЗАГС»);
- Государственная информационная система жилищно-коммунального хозяйства (ГИС ЖКХ).
Критика и изменения
Постановление № 1119 подвергалось критике за излишнюю формализацию требований, особенно в части обязательного использования сертифицированных СКЗИ для всех уровней защищённости, что увеличивало затраты государственных органов. В 2017 году были внесены поправки, смягчившие требования для систем с низким уровнем защищённости (УЗ-3 и УЗ-4): для них стало допустимо использование некриптографических методов защиты при условии выполнения организационных мер.
В 2021 году в постановление были внесены изменения, связанные с необходимостью обеспечения безопасности персональных данных при их трансграничной передаче. Документ был дополнен пунктом, требующим от операторов ГИС уведомлять Роскомнадзор о намерении передавать данные за пределы РФ.
Значение
Постановление Правительства РФ № 1119 является одним из ключевых документов в системе правового регулирования защиты персональных данных в России. Оно обеспечивает единый стандарт безопасности для государственных информационных систем, что особенно важно в условиях цифровизации государственных услуг и перехода к электронному документообороту. Документ также служит основой для разработки ведомственных нормативных актов и методических рекомендаций в области информационной безопасности.
Источники
- Постановление Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (с изменениями и дополнениями).
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
- Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
- Кодекс Российской Федерации об административных правонарушениях (статья 13.11).
- Методические рекомендации Роскомнадзора по вопросам защиты персональных данных (2017–2023).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →