#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Стало появляться много вопросов об «изменении законодательства в области персональных данных«.

Изменений нет.

Для начала, все что «ниже» по иерархии после федеральных законов, это уже не «законодательство в области персональных данных». Ну а если говорить об изменених вообще, то они есть, но пока совсем не критичные.

Минюст зарегистрировал приказ от 5.02.2010 № 58 «Об утверждении положения о методах и средствах защиты информации в ИСПДн». Другими словами, документ Положение о методах и способах защиты информации в информационных системах персональных данных вступил в силу. Вопрос лишь в том, что нужно исполнять?

По большому счету ничего.

Да, перечислили методы и способы защиты информации. Ну и что? Никаких обязательств на операторов этот документ не накладывает, а лишь перечисляет методы и способы защиты информационных систем исходя из класса. Требования к защите определяются на основе актуальных угроз, которые оператор определяет в Модели угроз.

На самом деле, факт регистрации «Положения…» в Минюсте, событие, безусловно, знаковое. Однако утверждать о «новом Четверокнижие», об изменениях в «законодательстве» или чем-то подобном не стоит. Расклад не изменился, по крайней мере, пока.

Автор статьи: Царев Евгений

14 комментариев

    Вы не поверите: ПП-781 отсылает к Методам и способам, а не к Основным мероприятиям ;))

    Волков Алексей:

    Так это всегда было — просто почему-то разработаны методы и способы не были. 🙂 Теперь можно, по идее, «четверокнижие» упразднить или придать ему рекомендательно-ознакомительный статус (по сути, он такой и есть — тут писали уже про то что в Минюсте он не зарегистрирован).

    Андрей Власов:

    Вот забавное несоответствие или неточная формулировка в новом Приказе:
    гл2. ст2.1
    “Методами и способами защиты информации от несанкционированного доступа являются:
    ….
    использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия
    …”

    И ниже идет:
    гл2. ст2.12
    “Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.
    Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).”

    Что же тут имеется ввиду по фразой “прошедших в установленном порядке процедуру оценки соответствия ” … если оценка соответствия это декларация\аттестация, это понятно…но почему средства, а не система.

    А если же это про сертификацию средств, то как понимать.. должны или могут…?
    Как думаете?

    Волков Алексей:

    Представляется, что оценка соответствия СРЕДСТВА защиты информации — это не что иное, как сертификация его ФСТЭКом, получение «гербовой голограммы» и последующее включение средства в Реестр сертифицированных СЗИ. Здесь сразу бросается в глаза некоторое разночтение в документах: в только что вышедшем положении «обязательная оценка соответствия» применяется для систем 1 класса, а в ПП781 п. 5 написано, что «средства защиты ИС проходят обязательную оценку соответствия в установленном порядке» без привязки к чему-либо. Поскольку ПП есть документ вышестоящей инстанции, то ориентироваться надо на него. Радоваться будем тогда, когда этот п.5 исключат. 🙂

    kreol:

    «Минюст зарегистрировал приказ …Другими словами, документ … вступил в силу.»
    Евгений, у вас описка 😉 Пока не опубликован — не вступил

    Есть процедура, после которой НПА вступает в силу. Обязательным этапом является официальное опубликование (в Российской газете например). Сейчас документ можно найти http://www.consultant.ru/online/base/?req=doc;base=LAW;n=97942 и в Гаранте, но официально он нигде не опубликован, так что, еще не вступил в силу технически

    Волков Алексей:

    Так это дело техники…

    swan:

    Является ли появление в интернете — опубликованием ?

    Волков Алексей:

    Нет, не является. Есть закон о порядке публикования законов (5-ФЗ по-моему), там все написано. Конкретно — публикация должна происходить в специальных изданиях (по-моему, «Собрание законродательства Российской Федерации»).

    Только в специзданиях

    Майя Ольшанская:

    Спорный вопрос, что первичнее к использованию, четверокнижие или это положение. Всё же документ с регистрацией в минюсте выглядит как-то предпочтительнее. У нас многие юристы отнекивались, что мол четверокнижие не зарегистрировано, поэтому оно нам не может указывать, что делать, а что не делать.

    Волков Алексей:

    Безусловно, событие знаковое — полностью согласен с Майей. На самом деле «методы и способы» это «высококонцентрированное» четверокнижие — дескать, вот что нужно делать, а как нужно делать — смотри «основные мероприятия…», «рекомендации…» и т.д. Но надо отметить, что ФСТЭК пошел навстречу операторам — требования гораздо проще выполнить, особенно тем, у кого СУИБ уже реализована, а СЗПДн в нее «интегрирована».

    Андрей Пилотов:

    Приказ упрощает многие вещи.
    Процедура создания или «приведения в соответствие» СЗПДн теперь более прозрачна: «152-ФЗ -> ПП781 -> Приказ 58, ссылка на Приказ Трех + Методика определения угроз».
    Кроме того, он снимает требование «Основных мероприятий» обязательного получения лицензии на деятельность по ТЗКИ для операторов с ИСПДн класса К1, что требует само по себе немалых трат.
    Так что изменений в законодательстве нет, но порядка и ясности больше. 🙂

    alex_b:

    опубликован 5 марта, вступает в силу 16 марта (с Российской Газеты)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.