среда, 5 июня 2013 г.

Становление Приказа 21 ФСТЭК


Весьма странно, что подписанный ФСТЭК Приказ был зарегистрирован в Минюсте только через 3 месяца. Смотрите даты сами - 18.02.2013 и 14.05.2013. Возникает вопрос, где болтался этот документ всё это время? Более того, внимательные блогеры сразу заметили отсутствие в тексте Приказа пункта 5. А, между прочим, в тексте черновика Приказа, размещенного также на сайте ФСТЭК отсутствует пункт 2. Это нормально для государственного законотворчества?
Я решил сравнить основной текст Приказа и основные положения, и вот что получилось:
Драфт
Релиз
Основной текст
1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
1.  Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
2. Установить, что настоящий приказ применяется для обеспечения безопасности персональных данный во вновь создаваемых (модернизируемых) информационных системах персональных данных.
-
3. Признать утратившим силу приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
2. Признать утратившим силу приказ ФСТЭК России от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный N 16456).
Общие положения
Настоящий документ разработан в соответствии с частью 4 статьи19 Федерального закона «О персональных данных» (Собрание законодательства Российской Федерации 2006, № 31, ст. 3451; 2009, № 48, ст. 5716; № 52, ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173, ст. 4196; № 49, ст. 6409; 2011, № 23, ст. 3263; № 31, ст. 4701) и устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – информационные системы), принимаемых операторами для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления,  распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Настоящий документ разработан в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701) и устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - меры по обеспечению безопасности персональных данных) для каждого из уровней защищенности персональных данных, установленных в Требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).
Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.
 В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.
Настоящий документ предназначен для выбора операторами информационных систем и (или) уполномоченными лицами организационных и
технических мер по обеспечению безопасности персональных данных и их реализации в системе защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, в соответствии с установленным уровнем защищенности персональных данных.
Безопасность персональных данных при их обработке в информационной системе персональных данных (далее - информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.

Выбранные и реализованные в системе защиты персональных данных организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах должны
обеспечивать нейтрализацию актуальных угроз безопасности персональных данных, определенных в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.
Для проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах операторами и (или) уполномоченными лицами в соответствии с законодательством Российской
Федерации могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации.
Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.
Для обеспечения безопасности персональных данных при их обработке в информационных системах применяются средства защиты информации, прошедшие в соответствии с законодательством Российской Федерации оценку соответствия в форме обязательной сертификации на соответствие требованиям
по безопасности информации.
Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
Оценка достаточности выбранных и реализованных в системе защиты персональных данных организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных
системах для нейтрализации актуальных угроз безопасности персональных данных осуществляется оператором (уполномоченным лицом) в ходе проводимого им контроля за выполнением Требований к защите персональных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119.
По решению оператора (уполномоченного лица) оценка достаточности выбранных и реализованных в системе защиты персональных данных организационных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах может осуществляться в рамках аттестации информационной системы.
Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.

Меры по обеспечению безопасности персональных данных в государственных информационных системах принимаются в соответствии с требованиями о защите информации, не содержащей государственную тайну, содержащейся в государственных информационных системах, устанавливаемыми
ФСТЭК России в пределах своих полномочий.
Меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328).

7 комментариев:

  1. Если я правильно понял, то ФСТЭК должен издать еще один приказ определяющий меры по обеспечению безопасности Пдн, обрабатываемых в государственных информационных системах (ведь у них на сайте, на сколько я помню, было размещено два проекта и один из них воплотился в 21 приказ)?

    ОтветитьУдалить
  2. Да, 17 приказ также уже вышел. Смотрим, читаем, комментируем.

    ОтветитьУдалить
  3. Спасибо, очень помогли.

    ОтветитьУдалить
  4. 17 приказ не только по обеспечению безопасности ПДн в ГИС, он касается вообще ВСЕХ ГИС!!! И обязательная аттестация таких систем до ввода в эксплуатацию! Интересно, а как быть с теми которые введены в эксплуатацию до 1.09.2013?

    ОтветитьУдалить
  5. Моё личное мнение, которое может быть опротестовано кем угодно и сколько угодно раз, заключается в том, что нужно уходить от СТР-К, о котором только и делают, что вспоминают.

    Более того, давно уже назрел выход приказа фстэк об отмене этого стр-к.

    ОтветитьУдалить
    Ответы
    1. Давайте все-таки поймем, что СТР-К не проходил регистрацию в минюсте, позиция ФСТЭК, что дескать это технический документ и регистрироваться не должен малоубедительна и поэтому с 1 сентября 2013 основным документам будет именно 17 приказ.
      По опыту скажу, что во время проверок при возникновении вопросов по конфе и задании встречных вопросов, чем определено понятие "конфиденциальной информации" и правовые основания применения СТР-К, вразумительных ответов не получаешь, но и вопросы по проверке о соответствии требованиям СТР-К снимаются.

      Удалить
  6. Согласен, что СТР-К устарел и нуждается либо в объемной актуализации, либо в отмене и замене другим документом методического характера, соответствующего настоящему времени, однако ФСТЭК России информационным сообщением от 15 июля 2013 года №240/22/2637 продлевает жизнь СТР-К и дает ясно понять, что СТР-К, при защите ГИС, подлежит активному использованию. Прлучается, что не выходит у нас уходит от СТР-К?

    ОтветитьУдалить