Почему же «долгожданный»? Да потому, что с момента выхода постановления Правительства РФ № 1119 (1 ноября 2012 года) любые вопросы по технической защите персональных данных оказались в неопределенно-подвешенном состоянии. Получилось так: новым постановлением отменены старые классы информационных систем персональных данных (ИСПДн) и введено понятие «Уровни защищенности ИСПДн», но как и чем защищаться в каждом конкретном случае как раз и должен был нам рассказать новый приказ ФСТЭК, который мы ждали «каких-то» полгода.

Сразу после опубликования нового приказа по Интернету прокатилась волна восторженных отзывов о новом документе. Мол, это огромный шаг вперед в сфере законодательства по защите персональных данных. В какой-то мере это действительно так (учитывая то, что предыдущие документы выходили сразу морально устаревшими и не учитывали многих нюансов функционирования современных информационных систем — мобильные платформы, виртуализация и тд), но, лично у меня к новому документу есть масса претензий.

В этой статье я постараюсь простым языком проанализировать новый документ ФСТЭК России, взвесить его плюсы и минусы, а также постараться ответить на вопрос «что же теперь делать операторам персональных данных?».

Что из себя представляет документ в целом

В целом, это действительно шаг вперед в плане законотворчества в сфере защиты персональных данных. Наконец-то в списке мер мы увидели упоминание мобильных устройств и средств виртуализации, чего раньше законодатели тщательно старались избегать. Наконец-то нет обязаловки как в прошлом приказе: «Если у тебя ИСПДн 1 класса, тебе нужно потратить n денег на средства защиты информации, если 2 класса, то n-m денег, а если 3 класса, то n-m-k денег.».

Сейчас ситуация такая: у нас есть 15 групп различных технических и организационных мер, в каждой группе от 2 до 20 различных мер, напротив каждой меры отмечено, является ли эта мера базовой (я буду их называть далее условно обязательными) для определенного уровня защищенности (если стоит плюс, то мера базовая, если нет — компенсирующая). Тут нужно заметить, что в перечне есть немало мер, которые могут быть только компенсирующими, то есть не отмечены плюсом ни для одного из четырех уровней защищенности.

Оператор персональных данных действует по следующему алгоритму:
— определяет уровень защищенности своей ИСПДн согласно ПП 1119;
— выбирает все меры, которые отмечены плюсом для выбранного уровня защищенности (базовые меры);
— убирает из полученного списка меры, которые связаны с технологиями, не используемыми в ИСПДн (например, убираем меры для защиты виртуальной инфраструктуры, если средства виртуализации не используются);
— смотрит на полученный список мер и сравнивает с актуальными угрозами в модели угроз, если выбранными мерами нейтрализуются не все актуальные угрозы, добавляет в список компенсирующие меры, необходимые для нейтрализации всех оставшихся угроз;
— добавляет к полученному списку меры, определенные в других нормативных актах (например в ПП № 1119 есть небольшое количестве мер, а также есть общие требования в ФЗ-152), после чего получает итоговый список мер, которые нужно выполнить;
— выполняет меры из окончательного списка…

Вроде бы все просто: определяем уровень защищенности, рисуем модель угроз, выбираем и уточняем меры из нового приказа ФСТЭК, выполняем эти меры и у нас комар носа не подточит. Но…

Ложка дегтя

Собственно здесь начинается критика как нового документа, так и остального законодательства в целом.

Проблемы у 21 приказа ФСТЭК в целом такие же как и у многих других законодательных документов — использование размытых формулировок, возможность двоякого толкования текста, отсутствие пояснений там, где они жизненно необходимы.

Понять как тщательно готовился документ и сколько раз его перечитывали и редактировали за эти полгода можно уже по тому факту, что после четвертого пункта в приказе сразу идет шестой… Ну ладно, это придирки, а что есть по существу?

Непонятки начинаются с классики жанра, которая тянется с незапамятных времен. Пункт 2 документа гласит, что для выполнения работ по защите ПДн могут привлекаться организации, имеющие лицензию на техническую защиту конфиденциальной информации (ТЗКИ).
Эта фраза кочует из документа в документ ФСТЭК уже давно, но что значит «могут» однозначного ответа так и нет. Естественно, ушлые интеграторы будут трактовать это как «могут привлекать сторонние организации, если сами не имеют лицензию на ТЗКИ». Формально, они будут правы, потому что если копнуть другие нормативные акты, выясняется, что под ТЗКИ попадает даже банальная установка антивируса, а в положении о лицензировании касаемо ТЗКИ нет оговорки о том, что лицензия не нужна если работы проводятся для личных нужд. Но операторы не любят выкидывать деньги на ветер и, к несчастью ушлых интеграторов, включают здравый смысл и трактуют это предложение как «могут привлекать, а могут и сами сделать». Это первое место, где не помешало бы более конкретно описать условия привлечения сторонних организаций.

Едем дальше. Пункт 3 говорит нам о том, что меры по обеспечению безопасности ПДн должны быть направлены на нейтрализацию актуальных угроз безопасности. С другой стороны ФЗ-152 говорит нам о том, что организационные и технические меры применяются для выполнения требований по защите ПДн. Так все-таки, есть у нас свобода или очередная обязаловка? Опять необходимо разъяснение.

Далее. Шестой пункт гласит о том, что раз в 3 года оператор самостоятельно или с привлечением сторонних организаций должен проводить оценку эффективности реализованных мер защиты ПДн. Тут получилось как с оценкой вреда субъекту персональных данных в 152-ФЗ. Получается, что оценку провести нужно, а какой-либо методики проведения такой оценки нет. А может быть оценка эффективности является заменой аттестации информационной системы? Тогда почему оператор может проводить ее самостоятельно, не имея лицензии на ТЗКИ?

Десятый пункт документа на первый взгляд очень многообещающий, в нем сказано «При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных«.

Казалось бы, вот оно — ссылаемся на экономическую нецелесообразность и не покупаем никаких сертифицированных средств защиты. Ну тут же нас выводит из состояния эйфории следующий абзац: «В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных».

То есть вот как, просто сказать проверяющему «Мы тут с мужиками прикинули и решили, что внедрять сертифицированные СЗИ это слишком дорого и поставили бесплатный китайский антивирус» не получится. Нужно показывать какие-то бумажки, обосновывающие применение иных мер, а не базовых. Как обосновать? Мне пока на ум приходит только проведение процедуры анализа рисков по ISO 27001, что, в случае найма для этих целей сторонней организации, само по себе может влететь в копеечку. К тому же, еще не факт, что анализ рисков покажет, что внедрять сертифицированные СЗИ экономически нецелесообразно…

Собственно тут мы и дошли до основной части документа — приложение с перечнем мер. Тут тоже не все так просто как хотелось бы. Вроде бы и меры разбиты на группы и удобно пронумерованы, вроде бы и удобные столбики с плюсиками показывают является ли в нашем случае та или иная мера условно обязательной или нет. Но, все равно, после изучения таблицы с мерами остается чувство неопределенности. Вот, например, пункт четвертый основного текста приказа уже не обязывает, вроде как, применять только сертифицированные СЗИ. Это хорошо. Но этот же пункт и не говорит прямым текстом, что можно применять несертифицированные СЗИ или не применять СЗИ вообще. Вот как он звучит дословно:
Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

В то же время, первая же мера, условно обязательная для всех уровней защищенности, звучит так: «Идентификация и аутентификация пользователей, являющихся работниками оператора». Понятно, что эта мера может быть реализована и штатными средствами любой ОС. И вроде как четвертый пункт не обязывает применять тот же Secret Net или Dallas Lock, но где гарантия, что не придет проверяющий и не скажет «Вы все не так поняли, тут должно стоять сертифицированное СЗИ, вот вам предписание»? Кто и как определяет — для нейтрализации конкретной угрозы необходимо ли сертифицированное СЗИ или можно обойтись без него? Почему нельзя написать прямым текстом, что применение сертифицированных СЗИ не обязательно, или обязательно в каких-то конкретных случаях?

Ну и формулировка самих мер иногда очень интересна. Вот например условно-обязательная мера защиты сред виртуализации для уровней защищенности от третьего и выше:
«Разбиение виртуальной инфраструктуры на сегменты для обработки персональных данных отдельным пользователем и/или группой пользователей».

По какому принципу сегментировать-то? И в чем такая необходимость? Конечно, мы можем при уточнении или адаптации набора мер выкинуть эту меру из списка, но опять же, а если проверяющий скажет «Вы все не так поняли. »?

Я очень надеюсь, что когда-нибудь представители ФСТЭК все же дадут официальные разъяснения по поводу спорных вопросов.

Вместо резюме

В общем и целом заметны попытки ФСТЭК дать большую свободу действия операторам при выборе стратегии защиты персональных данных, но размытости и неопределенности в формулировках в сочетании с неясностью позиции самого регулятора в спорных моментах, заставляют насторожиться.

Что же делать операторам сейчас?

Тем, кто уже защитил свои ИСПДн по «старому стилю», немного подредактировать свою документацию, приведя ее в соответствие действующему законодательству. В любом случае, скорее всего, ваша система защиты в техническом плане будет соответствовать и новому документу, так как раньше требования были жестче.

Остальным — классифицировать свои ИСПДн, построить модель угроз, составить список мер и, по мере возможности, их выполнять. Мониторить всевозможные новости, касающиеся разъяснений регуляторов, практики проведения проверок, мнений экспертов и общей тенденции развития законодательства в этой сфере.

m.habr.com

Требования приказа 21 фстэк

Повысят ли новые требования уровень защиты персональных данных

заместитель генерального директора (Компания «Андэк» )

Соответствовать требованиям приказа ФСТЭК №21 от 18 февраля 2013 года стало легче, но уровень реальной защиты персональных данных вряд ли повысится

22 мая 2013 года официально опубликован Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ), вступивший в силу 1 июня 2013 года. Сделан реальный шаг навстречу операторам персональных данных, сильно облегчающий выполнение требований по защите ПДн при их обработке в ИСПДн и снижающий затраты на достижение соответствия.

СУТЬ НОВЫХ ТРЕБОВАНИЙ

1 ноября 2012 года, постановлением Правительства Российской Федерации №1119 были утверждены «Требования к защите персональных данных при их обработке в информационных системах персональных данных», заменившие действующее до этого ПП РФ №781 от 17.11.2007 (Положение об обеспечении безопасности ПДн при их обработке в ИСПДн). Как следствие, еще целый ряд нормативных актов утратил силу:

  • Приказ ФСТЭК/ФСБ/Минсвязи №55/86/20 от 13.02.2008 «Об утверждении Порядка классификации информационных систем персональных данных»;
  • ФСТЭК России:
    • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14.02.2008;
    • Приказ ФСТЭК России №58 от 05.02.2010 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;
    • ФСБ России:
      • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21.02.2008;
      • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» от 21.02.2008.

      • ПП РФ №1119 раскрыло понятие Уровня защищенности ПДн, установило порядок и критерии определения таких уровней, и предъявило общие требования к защите ПДн при их обработке в ИСПДн. При этом детальные технические и организационные меры по защите ПДн должны были определить ФСТЭК России и ФСБ России в своих нормативных актах. Однако, из-за длительного отсутствия этих актов, операторы персональных данных в течение полугода могли только догадываться о том, что войдет в полный набор требований к защите ПДн.

      И вот, 22 мая 2013 года официально опубликован Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ), вступивший в силу 1 июня 2013 года.

      Стоит заметить, что это только «первая ласточка», и ФСТЭК и ФСБ предстоит еще выпустить не один нормативный акт взамен утративших силу. В частности, ФСТЭК России сейчас ведет работы по созданию новых методических рекомендаций по моделированию угроз информационной безопасности ПДн при их обработке в ИСПДн.

      Действующий до этого Приказ ФСТЭК №58 выдвигал достаточно жесткие требования технического характера. Например, для защиты даже самых слабых классов ИСПДн необходимо было использовать системы обнаружения вторжений, системы контроля целостности, и пр. Выполнение этих требований становилось сложной и нетривиальной задачей даже для крупных организаций, а для малого бизнеса – практически невыполнимой. В своем новом нормативно-правовом акте ФСТЭК России удалось не просто адаптировать требования по защите ПДн под положения ПП РФ №1119, но и сделать их выполнимыми для большинства организаций.

      ИСПДн – Информационная система персональных данных
      НДВ – недокументированные (недекларированные) возможности
      ПДн – Персональные данные
      ПО – Программное обеспечение
      ПП РФ – Постановление Правительства Российской Федерации
      ПЭМИН – Побочные электромагнитные излучения и наводки
      СЗИ – Средства защиты информации
      СЗПДн – Система защиты персональных данных
      УЗ – Уровень защищенности персональных данных
      ФЗ – Федеральный Закон

      СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ

      Одним из основных вопросов, заботивших операторов ПДн, был вопрос о необходимости использования сертифицированных средств защиты информации.

      Утвержденный Приказом документ содержит уже привычную формулировку: «Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия…» . Что означает, что применять исключительно процедуру сертификации СЗИ нет необходимости, можно использовать любой другой допустимый метод, вплоть до декларирования соответствия.

      Безусловно, этот вывод применим только в частном секторе: в государственных организациях защита конфиденциальной информации немыслима без применения сертифицированных СЗИ и аттестации объектов информатизации.

      Если вы все же решили использовать сертифицированные СЗИ, вам необходимо учитывать требования к их классу, которые приведены в пункте 12 документа, и зависят от уровня защищенности ПДн, типов актуальных угроз и наличия взаимодействия с сетями международного информационного обмена (например, Интернет).

      Кроме того, есть и еще одно важное исключение: «Для обеспечения 1 и 2 уровней защищенности ПДн, а также для обеспечения 3 уровня защищенности ПДн в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия НДВ» .

      Однако, пока большинство операторов ПДн легко может выйти из-под этого требования. Учитывая, что оператор сам определяет перечень угроз, актуальных для ИСПДн, в большинстве случаев угрозы 1 и 2 типа будут признаваться неактуальными, что позволит избежать 1 и 2 уровней защищенности ПДн почти во всех случаях. Исключение составят лишь ИСПДн, в которых обрабатываются ПДн специальной категории более 100 000 субъектов, не являющихся сотрудниками оператора. Навскидку, на ум приходят только два типа частных организаций, потенциально попадающих под это условие – очень большие медицинские учреждения или страховые компании, предоставляющие услуги добровольного медицинского страхования.

      Но это только пока. Текущая картина может сильно поменяться после выхода разрабатываемой пока во ФСТЭК методике моделирования угроз безопасности ПДн. Ведь что мы имеем сейчас? Актуальность угроз, безусловно, определяет оператор, но с учетом оценки возможного вреда и «в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных»» . А про угрозы 1 и 2 типа мы пока знаем только то, что, согласно ПП РФ №1119, это «в том числе» угрозы, связанные с наличием НДВ в системном/прикладном ПО. И какие еще угрозы должны будут относиться к 1 и 2 типу мы сможем выяснить только после появления соответствующего документа ФСТЭК и отраслевых моделей угроз, согласованных с регуляторами.

      МЕРЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

      В соответствии с Приказом №21, выбор мер обеспечения безопасности ПДн осуществляется следующим образом. Из приложения к утвержденному Приказом документу выбирается базовый (обязательный) набор мер, соответствующий уровню защищенности ПДн. Далее этот базовый набор мер адаптируется под конкретную ИСПДн и, в случае необходимости, дополняется мерами, необходимыми для нейтрализации угроз, смоделированных оператором, и предусмотренными требованиями прочих документов, например, нормативными правовыми актами ФСБ России, Приказом ФСТЭК России №17 от 11.02.2013, и пр.

      При этом, по сравнению с действовавшим ранее Приказом ФСТЭК №58, формулировки мер защиты стали гораздо более гибкими и мягкими: вместо сугубо технических требований мы получили описание мер, позволяющих осуществить их реализацию, как с помощью технических средств защиты, так и с помощью исключительно организационных мер.

      В целом, документ оставляет ощущение изменения подхода регулятора к защите информации – перехода от максимально статичного технического состояния защищенности от угроз к процессам обеспечения информационной безопасности: в наборе мер появились процессы управления доступом, управления изменениями, инцидент-менеджмента, управления уязвимостями и обновлениями, и пр.

      Отдельно стоит отметить, что меры противодействия угрозам, связанным с ПЭМИН, хоть и остались в документе, не вошли в базовый набор мер. Вместо них обязательным стал ряд мер защиты, касающихся использования технологий виртуализации и беспроводной связи.

      Более того, при технической невозможности или экономической нецелесообразности выполнения отдельных требований, вошедших в базовый набор мер, оператор имеет право отказаться от их исполнения. Для этого только нужно дать обоснование, и заменить эти требования на компенсирующие меры, направленные на нейтрализацию соответствующих угроз. Только есть одно «но»: детальных требований к компенсирующим мерам в документе нет, и пока не ясно, как регулятор будет оценивать достаточность и адекватность этих мер при проведении проверок. Поэтому я бы не рекомендовал использовать компенсирующие меры без крайней необходимости, чтобы минимизировать риски при проверках.

      Общее впечатление от документа исключительно положительное. Это и процессный подход к обеспечению защиты ПДн, и актуализация требований с учетом современных технологий, и исключение обязательной сертификации средств защиты информации, и возможность простой адаптации обязательных мер под реалии конкретной организации и информационной системы.

      Сделан реальный шаг навстречу операторам персональных данных, сильно облегчающий выполнение требований по защите ПДн при их обработке в ИСПДн и снижающий затраты на достижение соответствия.

      Если отбросить разработку обязательных документов (модели угроз и нарушителей, описания систем защиты ПДн и пр.), обеспечение защиты ПДн теперь легко и гармонично вписывается в уже действующую в организации систему обеспечения ИБ.

      Если даже оператор ПДн еще не озаботился вопросами ИБ, и действующая СОИБ слаба или отсутствует вовсе, реализация требований 21-го Приказа все равно не составит труда – формулировки требований достаточно гибкие, а неадекватные уровню риска защитные меры не включены в базовые наборы.

      РЕАЛЬНАЯ ЗАЩИТА ИНТЕРЕСОВ СУБЪЕКТОВ ПДн

      Гибкость требований в новом нормативно-правовом акте ФСТЭК России имеет и обратную сторону.

      Что заставляет операторов обеспечивать безопасность персональных данных?

    1. Стремление выполнить требования законодательства и/или страх штрафных санкций за несоответствие.
    2. Стремление защитить обрабатываемые данные (прежде всего от утечки) и/или страх потери лояльности сотрудников/клиентов, судебных издержек, и т.п.

    При этом риски, связанные с первой причиной, сейчас резко снижены: стало гораздо проще выполнить требования по защите ПДн в ИСПДн, а значит и вероятность применения штрафных санкций за несоответствие новым требованиям ФСТЭК стала ниже.

    Величина же риска по второй причине осталась неизменной. А если учесть, что отстаивание гражданами своих прав в суде у нас еще не является неотъемлемой частью национальной культуры, становится понятно, что риск этот не очень велик.

    Другими словами, с выходом 21-го Приказа ФСТЭК основная «страшилка» по защите ПДн пропала, а новая на ее место еще не пришла. Разумный баланс можно восстановить, введя штрафы не за несоблюдение требований регулятора, а за допущенные утечки данных. Ровно такие санкции и применяются во многих странах Европы, но о похожих реальных инициативах в России я пока не слышал. А ведь именно опасения прямых последствий утечки заставляют, например, банки обеспечивать адекватную защиту банковской тайны, несмотря на отсутствие жестких обязательных требований от регулятора: утечка информации о движении по счетам резко снизит лояльность клиентов и, в условиях высокой конкуренции, приведет к их массовому оттоку.

    Итак, выполнить новые требования ФСТЭК по защите ПДн в ИСПДн стало проще, и соответствовать этим требованиям теперь станет больше организаций. Но уровень реальной защиты персональных данных вряд ли вырастет. Достигнута ли главная цель – защита интересов субъектов ПДн – еще не ясно.

    www.cprspb.ru

    7 мая 2017 года вступили в силу изменения в Приказ № 21 ФСТЭК России. В документе изменилось соотношение между уровнями защищённости персональных данных с требуемыми классами средств защиты информации. Изменения уже учтены в сервисе «АльфаДок».

    Новое соотношение уровней защищённости ПДн с классами СЗИ выглядит следующим образом:

    При использовании в информационных системах (ИС) сертифицированных по требованиям безопасности информации средств защиты информации:

    • в ИС 1 уровня защищенности персональных данных применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;
    • в ИС 2 уровня защищенности персональных данных применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;
    • в ИС 3 уровня защищенности персональных данных применяются средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 5 класса;
    • в ИС 4 уровня защищенности персональных данных применяются средства защиты информации не ниже 6 класса, а также средства вычислительной техники не ниже 6 класса.

    Также в документ добавилось новое требование к средствам защиты информации:

    При использовании в информационных системах средств защиты информации, сертифицированных по требованиям безопасности информации, указанные средства должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности).

    alfa-doc.ru

    Нормативные документы по защите персональных данных

    (в ред. Федеральных законов
    от 25.11.2009 N 266-ФЗ, от 27.12.2009 N 363-ФЗ,
    от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ,
    от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ
    от 04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ
    от 05.04.2013 N 43-ФЗ)

    Для удобства работы с законом, его текст со всеми внесенными изменениями читайте по приведенной у нас ссылке на сайт «Консультант плюс».
    Для желающих ознакомиться с исходным текстом закона даём ссылку на сайт «Российской газеты». Все изменения к ФЗ 152 Вы можете также найти на сайте «Российской газеты», воспользовавшись перечнем законов, приведенных выше, в особенности посмотрите ФЗ 261, который внес кардинальные изменения в ФЗ 152.

    Ввод в действие закона «О персональных данных»

    28 декабря 2010 года президент России Дмитрий Медведев одобрил введение в действие закона 152-ФЗ «О персональных данных» в июле 2011 года. Федеральный закон 152-ФЗ вступил в силу 26 января 2007 года. Для приведения в соответствие закону информационных систем предприятий был предусмотрен срок до января 2010 года, затем этот срок был ещё раз продлен до января 2011 года. И вот ещё раз — до июля 2011-го. Нового срока переноса введения в действие 152-ФЗ после 01.07.2011г. не было.

    01.07.2011 г. наступил час «Х». С каждым днём вопрос защиты персональных данных становится острее. Это означает, что операторы персональных данных, не сумевшие выполнить требования 152-ФЗ, с 1 июля 2011 года понесут соответствующую гражданскую, административную, дисциплинарную, а может быть даже и уголовную ответственность.

    Ответственность за неисполнение 152-ФЗ

    Законом предусмотрена гражданская, уголовная, административная, дисциплинарная и иная ответственность за нарушение его требований. Так, Кодекс об административных правонарушениях предусматривает максимальный штраф в 500000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без лицензии (ст. 19.20 КоАП). В уголовном кодексе говорится о штрафе в 300000 руб., обязательных работах на срок до 1-го года, аресте до 6-ти месяцев и лишении права занимать должность на срок до 5-ти лет в случае осуществления защиты персональных данных без лицензии в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК). При систематических и грубых нарушениях Роскомнадзор имеет право ходатайствовать об отзыве лицензий на основной вид деятельности.

    Комментарий:

    Данное постановление отменяет постановление №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», а значит руководящие документы, которые разработаны во исполнение постановления №781 теряют силу.
    Такими документами являются:

    • Приказ ФСТЭК России №55, ФСБ России №86, Мининформсвязи Российской Федерации №20 от 13.02.2008 «Об утверждении Порядка классификации информационных систем персональных данных» (больше известен как приказ трёх).
    • Приказ ФСТЭК России от 05.02.2010 №58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
    • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14 февраля 2008 года (ФСТЭК России).
    • Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» от 21 февраля 2008 года (ФСБ России).
    • Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» от 21 февраля 2008 года (ФСБ России).

      • Ссылки на данные документы с нашего сайта убраны. Нет смысла руководствоваться в работе документами, утратившими силу. Надеемся, что во исполнение Постановления №1119 в этом году Регуляторами будут разработаны и утверждены необходимые для работы по защите персональных данных документы. А пока все находятся в состоянии неопределённости.

      И вот, первые изменения: вместо Приказа №58 от 05.02.2010г., вступили в действие 2 Приказа ФСТЭК России №21 от 18.02.2013г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и Приказ №17 от 11.02.2013г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Приказы определяют состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн. Документы являются ключевыми для обеспечения безопасности ПДн. Однако для полноценной работы по защите персональных данных Регуляторам необходимо еще разработать и утвердить ряд документов, взамен отмененных Постановлением №1119, в частности, ждем в первую очередь изменения Методики определения актуальных угроз . в соотвествии с требованиями Приказов №17 и №21.
      Удачи в изучении документов! Там есть над чем подумать. Для начала можете прочитать статью «Уровни защищенности персональных данных вместо классов» на нашем сайте.

      Комментарий:
      Изучая 17-й приказ, пришлось пересмотреть не один десяток документов, на которые ссылается данный приказ, и все равно нет однозначного ответа по его применению. Мнения экспертов в области информационной безопасности тоже разделились.
      Вот мнение эксперта Алексея Лукацкого, по применению 17-го приказа, для защиты информации в государственных информационных системах, пока на наш взгляд наиболее аргументированное, которое он высказал в блоге на сайте «DLP-Эксперт». Здесь же Вы можете узнать мнение других экспертов по применению 17-го приказа ФСТЭК.

      К сожалению, четкого ответа на вопрос, какие системы должны защищаться по данному приказу, нет. Существуют разные позиции. Одни ссылаются на то, что государственной информационной системой является только та, которая создана на основании федерального закона, закона субъекта РФ или правового акта госоргана. Под это определение не попадает, например, информационная система бухгалтерии или отдела кадров госоргана, а именно там обрабатываются персональные данные госслужащих. Получается, что госорган в такой трактовке должен следовать 21-му приказу ФСТЭК. Другие эксперты считают, что все, что делается в госорганах, делается в силу закона; иная деятельность по определению незаконна. При такой позиции информационная система бухгалтерии или отдела кадров подпадает под действие 17-го приказа ФСТЭК.
      По поводу приоритетности требований 17 и 21 приказа: если начинать искать разночтения в понимании термина «государственная информационная система», то на госорган сваливается сразу два приказа – 17-й и 21-й. Однако по используемым мерам они практически идентичны и отличаются только в концептуальных вопросах – сертификация средств защиты, оценка эффективности в форме аттестации, принцип экономической целесообразности, процедура исключения защитных мер из перечня базовых. Но в каждом из этих случаев больших выгод ухода от 17-го приказа к 21-му нет. Сертифицированные средства защиты в госорганах должны быть не только по 17-му приказу, но и по множеству других нормативных актов, вплоть до требований федерального законодательства. Следование принципу экономической целесообразности не сильно облегчает финансовое бремя – число систем, непопадающих под определение ГИС, невелико. Возможность исключить какие-то меры из базового набора могло бы помочь, если бы информационные системы госоргана, обрабатывающие разные виды информации ограниченного доступа, были физически изолированы друг от друга и между собой бы не пересекались. Но на практике это не так. Вот и получается, что госоргану, даже несмотря на наличие некоторых коллизий, лучше выполнять требования одного, 17-го приказа ФСТЭК.

      www.rskb48.ru