Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Небольшое эссе на тему проектов Постановлений Правительства РФ по защите персональных данных

    02.10.2012

    Небольшое эссе на тему проектов Постановлений Правительства РФ по защите персональных данных

    «Мы строили, строили, и, наконец, построили…» — именно такой заголовок автор выбрал для своего небольшого эссе. И это совсем не случайно, ведь оно посвящено анализу изменений нормативно-правовой базы по защите персональных данных с выходом проектов Постановлений Правительства РФ «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных» и «О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных», которые уже очень давно ждали.

    Основные выводы:

    Вместо классов ИСПДн, требования по защите ПДн теперь задаются уровнем защищенности ПДн. Это потребует отмены совместного Приказа ФСТЭК России, ФСБ России и Минкомсвязи России от 13.02.2008 г. № 55/86/20 и, как следствие, дополнительных работ от операторов ПДн по определению уровня защищенности обрабатываемых ПДн.

    Критерии выбора уровня защищенности ПДн не совпадают с критериями классификации ИСПДн, существовавшими до настоящего времени. Это потребует некоторой перестройки в умах операторов и, как следствие, на первом этапе возможна путаница, усложняющая процесс приведения обработки ПДн в соответствие требованиям.

    Признание утратившим силу постановления Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и привязка требований по защите ПДн к уровням защищенности ПДн потребует отмены Приказа ФСТЭК России от 05.02.2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» и, как следствие, обнародования новых технических требований.

    Выход в свет данных документов требует дальнейшей работы и, в частности, разработки отраслевых моделей угроз, а также состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн. Учитывая, темпы разработки аналогичных документов во ФСТЭК России и ФСБ России, рассчитывать на то, что такие требования появятся хотя бы до конца 2012 года – не приходится.

    Проект требований не предусматривает проведение мероприятий по защите от ПЭМИН, хотя некоторые требования по этому вопросу могут появится в разрабатываемых ФСТЭК России и ФСБ России документах по составу и содержанию организационных и технических мер по обеспечению безопасности ПДн.

    Проекты определяют, что для 3 и 4 уровней защищенности ПДн применение СЗИ, прошедших процедуру оценки соответствия установленным требованиям не является обязательным. Однако, это не освобождает их от другого регулирования – экспортного контроля. Данные проекты Постановлений Правительства РФ не дают право бесконтрольного использования СКЗИ, ели их ключ превышает 56 бит для симметричного алгоритма и 512 бит для ассиметричного алгоритма. В месте с тем, даже таких размеров ключа во многих случаях может быть достаточно для обеспечения адекватной защиты. Более подробно об этой проблеме скорее всего будет в документах ФСБ России. И уж, конечно, как минимум потребуется лицензия ФСБ, если используемая ИСПДн не обрабатывает ПДн только сотрудников самого оператора.

    Контроль выполнения требований стал обязательным элементом защиты ПДн. Оператор может осуществлять такой контроль самостоятельно, но для этого ему требуется получить лицензию на деятельность по технической защите информации или пригласить другое юридическое лицо, имеющее такую лицензию.

    Полную версию эссе с обоснованием этих выводов читайте в разделе Информаториум. Персональные данные.



    Возврат к списку