С 15.11.2021 вступили в силу Закон о защите персональных данных, Указ от 28.10.2021 N 422. В их развитие Оперативно-аналитический центр при Президенте (далее — ОАЦ) 12.11.2021 издал приказы N 194 и N 195. В них уточнены вопросы обучения и технической, криптографической защиты в сфере персональных данных. Приказы ОАЦ от 12.11.2021 N 194 и N 195 действуют с 15.11.2021.
1. Определены лица, которым нужно пройти обучение в Национальном центре защиты персональных данных
Так, в Национальном центре защиты персональных данных (далее — Национальный центр) должны пройти обучение по программе повышения квалификации лица, которые в совокупности (подп. 1.1 п. 1 приказа ОАЦ от 12.11.2021 N 194):
1) отвечают за внутренний контроль за обработкой персональных данных;
2) осуществляют эту функцию в определенных организациях, в частности:
— банках и небанковских кредитно-финансовых организациях;
— страховых организациях;
— у операторов электросвязи (за исключением ИП);
— республиканской и территориальных организациях по госрегистрации недвижимого имущества, прав на него и сделок с ним;
— Белорусской нотариальной палате, областных (Минской городской) нотариальных палатах;
— риэлтерских организациях;
— организациях здравоохранения;
— местных исполнительных и распорядительных органах, их структурных подразделениях с правами юрлица.
Примечание
Требование по обучению не распространяется на лиц, работающих в сельских (поселковых) исполкомах (абз. 9 подп. 1.1 п. 1 приказа ОАЦ от 12.11.2021 N 194);
— у операторов (уполномоченных лиц), организующих и (или) осуществляющих обработку персональных данных не менее 10 тыс. физлиц. В это число не включаются персональные данные работников этих операторов (уполномоченных лиц), собранные в процессе осуществления трудовой деятельности.
Обратите внимание!
Бывает, что ответственным за осуществление внутреннего контроля за обработкой персональных данных назначено структурное подразделение оператора (уполномоченного лица). В этом случае конкретное лицо из подразделения, которое должно пройти обучение в Национальном центре, определяет руководитель оператора (уполномоченного лица) (п. 2 приказа ОАЦ от 12.11.2021 N 194).
Если лицо осуществляет обработку персональных данных, а не контроль в вышеперечисленных организациях, то оно может пройти обучение как в Национальном центре, так и в иных организациях. К иным организациям относятся учреждения образования; организации с образовательной программой повышения квалификации, программой обучающих курсов; сам оператор (абз. 4 — 6 ч. 1 подп. 3.3 п. 3 Указа от 28.10.2021 N 422, подп. 1.2 п. 1 приказа ОАЦ от 12.11.2021 N 194).
2. Скорректирован порядок технической и криптографической защиты персональных данных
Техническую и криптографическую защиту персональных данных нужно осуществлять в соответствии с приказом ОАЦ от 20.02.2020 N 66. При этом операторы (уполномоченные лица) должны обеспечить выполнение требований, установленных для собственников (владельцев) информационных систем, в которых обрабатываются персональные данные (п. 1 приказа ОАЦ от 12.11.2021 N 195).
Обратите внимание!
Если в информационной системе (не на критически важных объектах) обрабатываются только общедоступные персональные данные, то можно не применять установленные приказом ОАЦ от 20.02.2020 N 66 требования по технической и криптографической защите, аттестации систем защиты информации, представлению в ОАЦ соответствующих сведений (абз. 3 подп. 2.1, абз. 3 подп. 2.2, абз. 3 подп. 2.4 п. 2 приказа ОАЦ от 12.11.2021 N 195).
Приказ ОАЦ от 12.11.2021 N 195 предусмотрел отдельные уточнения для ИП, являющихся собственниками (владельцами) информационных систем, в которых обрабатываются персональные данные (абз. 9 и 10 подп. 2.1, абз. 7 и 22 подп. 2.2 п. 2). В частности, ИП:
1) вправе выполнять работы по технической и криптографической защите персональных данных самостоятельно либо с привлечением специализированной организации. При самостоятельном выполнении работ ИП не нужно создавать (назначать) ответственные подразделения, лиц по защите информации;
2) могут составлять акт отнесения информационной системы к классу типовых информационных систем в произвольной форме;
3) вправе выполнять работы по аттестации единолично;
4) вправе разработать программу и методику аттестации единолично.
Также приказом ОАЦ от 12.11.2021 N 195 предусмотрены методы обезличивания персональных данных, они установлены в приложении 5 к Положению о порядке технической и криптографической защиты информации в информационных системах N 66 (абз. 32 п. 2.1 п. 2). К ним относятся такие методы как введение идентификаторов; изменение состава; декомпозиция; перестановка; зашифрование.
В новой редакции изложены приложения Положения о порядке технической и криптографической защиты информации в информационных системах N 66, определяющие (абз. 31 подп. 2.1 п. 2 приказа ОАЦ от 12.11.2021 N 195):
— классы типовых информационных систем;
— требования к системе защиты информации, подлежащие включению в техзадание;
— требования к организации взаимодействия информационных систем.
Внесены дополнения и по вопросу аттестации систем защиты информации. Так, можно не проводить мероприятия по аттестации (за исключением оформления аттестата соответствия), если одновременно (абз. 16 — 18 подп. 2.2 п. 2 приказа ОАЦ от 12.11.2021 N 195):
1) информационная система создается на базе информационной системы специализированной организации.
Примечание
Под специализированными организациями понимают организации, которые имеют специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации (ч. 1 п. 3 Положения о порядке аттестации систем защиты информации N 66);
2) аттестация системы защиты информации в создаваемой системе проводится этой специализированной организацией;
3) система защиты информации информационной системы специализированной организации аттестована в установленном порядке. В такой системе реализованы требования по защите информации аттестуемой системы защиты информации.
Обратите внимание!
Изменения, внесенные приказом ОАЦ от 12.11.2021 N 195 в Положение о порядке технической и криптографической защиты информации в информационных системах N 66 и в Положение о порядке аттестации систем защиты информации N 66, обязательны не для всех. Их можно не применять для информационных систем, которые (п. 3 приказа ОАЦ от 12.11.2021 N 195):
— введены в эксплуатацию до 15.11.2021. Не применять новые нормы можно в течение срока действия аттестата соответствия системы защиты информации. По истечении его срока действия аттестация проводится по новым правилам.
— создаются или модернизируются и на них по состоянию на 15.11.2021 уже утверждены техзадания. Аттестацию систем защиты информации таких информационных систем и ввод их в эксплуатацию можно осуществлять в соответствии со «старым» законодательством.
Такие изъятия применяются к информационным системам, предназначенным для обработки информации, которая ограничена к распространению, предоставлению и не относится к госсекретам.