Персональная оттепель

Операторам персональных данных вышло послабление. ФСТЭК выпустило новое положение, заменяющее два самых скандальных документа из пресловутого «четверокнижия». В новом документе - ни слова об аттестации и декларации соответствия информационных систем персональных данных.

Федеральная служба по техническому и экспортному контролю издала приказ № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных". В связи с выходом нового положения два руководящих документа «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» и «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» решением от 5 марта не применяются уже с 15 марта. «Основные мероприятия» и «Рекомендации» входили в так называемое «четверокнижие ФСТЭК» - комплект руководящих документов, содержащих перечень мер, которые должны предпринимать  операторы персональных данных по их защите. Потерявшие юридическую силу документы носили гриф «Для служебного пользования», не были зарегистрированы в Минюсте, и могли быть получены оператором только путем прямого обращения во ФСТЭК.

Новое положение (кстати, зарегистрированное в Минюсте 19 февраля 2010 года) еще подлежит осмыслению, и это тема для не одной публикации, однако даже беглый анализ позволяет отметить ряд интересных, на мой взгляд, моментов:

• 1. Отменяется необходимость аттестации ИСПДн для операторов ИСПДн 1-2 классов. Операторы ИСПДн 3-го класса избавлены от необходимости декларировать соответствие своих систем установленным требованиям. Для операторов это более чем ощутимая экономия средств и времени.
• 2. Грань между ИСПДн 2 и 3-го класса становится зыбкой. По крайней мере, требования по защите ИСПДн 2 класса «применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса». Отличаются только требования к межсетевым экранам.
• 3. К средствам обработки персональных данных не применяется требование о необходимости соответствия требованиям, обеспечивающим защиту информации. Российскому законодательству известны следующие способы установки соответствия: сертификация (обязательная или добровольная) и декларация соответствия. Ничего из перечисленного для средств обработки персональных данных не требуется.
• 4. Средства защиты информации должны пройти процедуру оценки соответствия (сертификация или декларация). Ранее требования звучали жестче - только сертификация. Отдельно оговариваются требования к средствам защиты ИСПДн 1-го класса. Программное обеспечение средств защиты (не обработки!) должно соответствовать 4 уровню контроля отсутствия недекларированных возможностей.
• 5. Операторам ИСПДн 1-2 класса не нужно будет получать лицензию на осуществление деятельности по технической защите информации. Данное требование, было, пожалуй, самым абсурдным - лицензия требовалась даже, если деятельность осуществлялась «для себя». Здравый смысл восторжествовал.