Журнал о системах электронного документооборота (СЭД)
Государство и электронный документооборот

Персональная оттепель

  2 комментариев Добавить в закладки

Операторам персональных данных вышло послабление. ФСТЭК выпустило новое положение, заменяющее два самых скандальных документа из пресловутого «четверокнижия». В новом документе - ни слова об аттестации и декларации соответствия информационных систем персональных данных.

Федеральная служба по техническому и экспортному контролю издала приказ № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных". В связи с выходом нового положения два руководящих документа «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» и «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» решением от 5 марта не применяются уже с 15 марта. «Основные мероприятия» и «Рекомендации» входили в так называемое «четверокнижие ФСТЭК» - комплект руководящих документов, содержащих перечень мер, которые должны предпринимать  операторы персональных данных по их защите. Потерявшие юридическую силу документы носили гриф «Для служебного пользования», не были зарегистрированы в Минюсте, и могли быть получены оператором только путем прямого обращения во ФСТЭК.

Новое положение (кстати, зарегистрированное в Минюсте 19 февраля 2010 года) еще подлежит осмыслению, и это тема для не одной публикации, однако даже беглый анализ позволяет отметить ряд интересных, на мой взгляд, моментов:

  • 1. Отменяется необходимость аттестации ИСПДн для операторов ИСПДн 1-2 классов. Операторы ИСПДн 3-го класса избавлены от необходимости декларировать соответствие своих систем установленным требованиям. Для операторов это более чем ощутимая экономия средств и времени.
  • 2. Грань между ИСПДн 2 и 3-го класса становится зыбкой. По крайней мере, требования по защите ИСПДн 2 класса «применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса». Отличаются только требования к межсетевым экранам.
  • 3. К средствам обработки персональных данных не применяется требование о необходимости соответствия требованиям, обеспечивающим защиту информации. Российскому законодательству известны следующие способы установки соответствия: сертификация (обязательная или добровольная) и декларация соответствия. Ничего из перечисленного для средств обработки персональных данных не требуется.
  • 4. Средства защиты информации должны пройти процедуру оценки соответствия (сертификация или декларация). Ранее требования звучали жестче - только сертификация. Отдельно оговариваются требования к средствам защиты ИСПДн 1-го класса. Программное обеспечение средств защиты (не обработки!) должно соответствовать 4 уровню контроля отсутствия недекларированных возможностей.
  • 5. Операторам ИСПДн 1-2 класса не нужно будет получать лицензию на осуществление деятельности по технической защите информации. Данное требование, было, пожалуй, самым абсурдным - лицензия требовалась даже, если деятельность осуществлялась «для себя». Здравый смысл восторжествовал.
Ещё материалы автора
Похожие записи
Комментарии (2)
Александр Имшенецкий 13 апреля 2010 г. 18:25  

Сергей, здравствуйте.

Может приказ № 58 ФСТЭК, а не №56?

Если №58, то где в положении это?

1. Отменяется необходимость аттестации ИСПДн для операторов ИСПДн 1-2 классов. Операторы ИСПДн 3-го класса избавлены от необходимости декларировать соответствие своих систем установленным требованиям. Для операторов это более чем ощутимая экономия средств и времени.

прокоментируйте.

Сергей Бушмелев 14 апреля 2010 г. 11:49  


Добрый день, Александр!



С номером я ошибся, Вы правы:  №58 а не 56. Поправил.



По поводу необходимости аттестации и декларирования соответствия. Эта необходимость устанавливалась  РД «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», пункт 3.11. Выписка из этого документа была опубликована на сайте ФСТЭК. Решением от 5 марта в связи с выпуском Приказа № 58 этот документ, вкупе с РД «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» не применяется с 15 марта 2010 г.



 


Сейчас обсуждают
Больше комментариев