Персональная оттепель
Операторам персональных данных вышло послабление. ФСТЭК выпустило новое положение, заменяющее два самых скандальных документа из пресловутого «четверокнижия». В новом документе - ни слова об аттестации и декларации соответствия информационных систем персональных данных.
Операторам персональных данных вышло послабление. ФСТЭК выпустило новое положение, заменяющее два самых скандальных документа из пресловутого «четверокнижия». В новом документе - ни слова об аттестации и декларации соответствия информационных систем персональных данных.
Федеральная служба по техническому и экспортному контролю издала приказ № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных". В связи с выходом нового положения два руководящих документа «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» и «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» решением от 5 марта не применяются уже с 15 марта. «Основные мероприятия» и «Рекомендации» входили в так называемое «четверокнижие ФСТЭК» - комплект руководящих документов, содержащих перечень мер, которые должны предпринимать операторы персональных данных по их защите. Потерявшие юридическую силу документы носили гриф «Для служебного пользования», не были зарегистрированы в Минюсте, и могли быть получены оператором только путем прямого обращения во ФСТЭК.
Новое положение (кстати, зарегистрированное в Минюсте 19 февраля 2010 года) еще подлежит осмыслению, и это тема для не одной публикации, однако даже беглый анализ позволяет отметить ряд интересных, на мой взгляд, моментов:
- 1. Отменяется необходимость аттестации ИСПДн для операторов ИСПДн 1-2 классов. Операторы ИСПДн 3-го класса избавлены от необходимости декларировать соответствие своих систем установленным требованиям. Для операторов это более чем ощутимая экономия средств и времени.
- 2. Грань между ИСПДн 2 и 3-го класса становится зыбкой. По крайней мере, требования по защите ИСПДн 2 класса «применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса». Отличаются только требования к межсетевым экранам.
- 3. К средствам обработки персональных данных не применяется требование о необходимости соответствия требованиям, обеспечивающим защиту информации. Российскому законодательству известны следующие способы установки соответствия: сертификация (обязательная или добровольная) и декларация соответствия. Ничего из перечисленного для средств обработки персональных данных не требуется.
- 4. Средства защиты информации должны пройти процедуру оценки соответствия (сертификация или декларация). Ранее требования звучали жестче - только сертификация. Отдельно оговариваются требования к средствам защиты ИСПДн 1-го класса. Программное обеспечение средств защиты (не обработки!) должно соответствовать 4 уровню контроля отсутствия недекларированных возможностей.
- 5. Операторам ИСПДн 1-2 класса не нужно будет получать лицензию на осуществление деятельности по технической защите информации. Данное требование, было, пожалуй, самым абсурдным - лицензия требовалась даже, если деятельность осуществлялась «для себя». Здравый смысл восторжествовал.
Комментарии 2
Сергей, здравствуйте.
Может приказ № 58 ФСТЭК, а не №56?
Если №58, то где в положении это?
1. Отменяется необходимость аттестации ИСПДн для операторов ИСПДн 1-2 классов. Операторы ИСПДн 3-го класса избавлены от необходимости декларировать соответствие своих систем установленным требованиям. Для операторов это более чем ощутимая экономия средств и времени.
прокоментируйте.
Добрый день, Александр!
С номером я ошибся, Вы правы: №58 а не 56. Поправил.
По поводу необходимости аттестации и декларирования соответствия. Эта необходимость устанавливалась РД «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», пункт 3.11. Выписка из этого документа была опубликована на сайте ФСТЭК. Решением от 5 марта в связи с выпуском Приказа № 58 этот документ, вкупе с РД «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» не применяется с 15 марта 2010 г.