• О компании
  • Сертификаты и лицензии
  • Пресса о нас
  • Вакансии
  • Контакты
• Направления деятельности
  • Телекоммуникации
  • СКС
  • Инфраструктура ИС
  • Прикладные системы
  • Проектирование
  • Обслуживание техники и связи
  • АСУТП
• Проекты
  • Учет ресурсов ОАО «Татэнерго»
  • АИС РГУП БТИ МСЖКХ РТ
  • АИС Управления ЗАГС
  • Образцовые школы
  • СПО в библиотеках
• Продукты
  • Отдел Телекоммуникаций
  • Отдел СКС
  • Отдел ИИС

Главная > Продукты > Отдел ИИС > Защита персональных данных

Защита персональных данных

Изменения требований по защите персональных данных

Комментарий аналитиков ОАО «Элвис-плюс» в связи с опубликованием «Положения о методах и способах защиты информации в информационных системах персональных данных» и отменой «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» и «Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». (внесено 16.03.10)

Оригинал статьи размещен на сайте www.elvis.ru

О необходимости проведения аттестации ИСПДн (какие классы, порядок аттестации и т.п.)
Действительно, «Положение о методах и способах защиты информации в информационных системах персональных данных» не рассматривает вопросы оценки соответствия ИСПДн установленным требованиям и проведения аттестации информационных систем персональных данных, так как эти вопросы выходят за рамки компетенции данного документа и рассмотрены в других документах. Между тем, вопрос аттестации не снят с повестки дня. Сегодня можно констатировать следующее:

1. В соответствии с п. 12 в) «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства РФ 2007 г. № 781) оператору достаточно обеспечить «проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации» и проведение аттестации его ИСПДн не требуется.
2. В соответствии с Указом Президента РФ от 06.03.1997 № 188 персональные данные (кроме общедоступных и обезличенных) относятся к сведениям конфиденциального характера. Порядок защиты конфиденциальной информации регламентируется «Специальными требованиями и рекомендации по технической защите конфиденциальной информации (СТР-К)». В соответствии с п. 2.17 СТР-К «Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации». Однако требования СТР-К являются обязательными только для защиты государственных информационных ресурсов. Согласно ч. 9 ст. 14 Федерального закона №149-ФЗ «Об информации, информационных технологиях и защите информации»:
   «Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами».
   Отсюда можно сделать вывод, что обязательная аттестация проводится только для государственных информационных систем, в которых осуществляется обработка персональных данных. В остальных случаях она носит добровольный (необязательный характер).
3. Вместе с тем, необходимо отметить, что в соответствии с п. 3 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»: «Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора». Так как для коммерческих структур аттестация становится не обязательной, то в этом случае вся ответственность за точное исполнение всех технических требований по защите персональных данных лежит на операторе ПДн. И в случае выявленных несоответствий в ходе государственного контроля и надзора, именно он несет за это ответственность. Если же оператор проходит процедуру оценки соответствия установленным требованиям с привлечением третьих лиц (по результатам которых оформляется аттестат соответствия или заключение), то, как правило, в этом случае он с одной стороны получает уверенность, что все меры выполнены, а с другой стороны, в случае выявленных нарушений третье лицо разделяет риски с оператором ПДн.

О возможности сегментирования системы в целом на подсистемы различных классов
Возможность сегментирования ИСПДн в целом предусмотрена «Положением о методах и способах защиты информации в информационных системах персональных данных» (раздел 2). В частности п. 2.11 этого Положения устанавливает, что «подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов», а п. 2.4 Приложения к «Положению о методах и способах защиты информации в информационных системах персональных данных» устанавливает, что «При разделении информационной системы при помощи межсетевых экранов на отдельные части для указанных частей системы может устанавливаться более низкий класс, чем для информационной системы в целом.»

О необходимости использования сертифицированных средств защиты информации, в том числе криптографических при передаче по каналам связи и сетям связи общего пользования
Ответ приведён в п. 5 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства РФ 2007 г. № 781): «5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.» А также в п. 2.1 «Положения о методах и способах защиты информации в информационных системах персональных данных»: «2.1. Методами и способами защиты информации от несанкционированного доступа являются: использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; ». В соответствии со ст. 20 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» подтверждение соответствия осуществляется в формах: принятия декларации о соответствии (декларирование соответствия) или обязательной сертификации. В настоящее время ФСТЭК России и ФСБ России, которые в соответствии с п. 3 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства РФ 2007 г. № 781) получили право устанавливать методы и способы защиты информации в информационных системах, имеют только действующие системы сертификации средств защиты информации, а системы декларирования соответствия ими ещё не созданы. Отсюда следует, что в настоящее время для защиты ПДн необходимо применение сертифицированных средств защиты.

Об атрибутах безопасности
Атрибут безопасности - информация, связанная с субъектами, пользователями и/или объектами, которая используется для осуществления политики безопасности (ГОСТ Р ИСО/МЭК 15408). Атрибутами безопасности могут быть идентификаторы, аутентификационная информация (например, пароль), права доступа (роль, привилегии) и др.