|
марта
02
|
Стало появляться много вопросов об “изменении законодательства в области персональных данных“.
Изменений нет.
Для начала, все что “ниже” по иерархии после федеральных законов, это уже не “законодательство в области персональных данных”. Ну а если говорить об изменених вообще, то они есть, но пока совсем не критичные.
Минюст зарегистрировал приказ от 5.02.2010 № 58 “Об утверждении положения о методах и средствах защиты информации в ИСПДн”. Другими словами, документ Положение о методах и способах защиты информации в информационных системах персональных данных вступил в силу. Вопрос лишь в том, что нужно исполнять?
По большому счету ничего.
Да, перечислили методы и способы защиты информации. Ну и что? Никаких обязательств на операторов этот документ не накладывает, а лишь перечисляет методы и способы защиты информационных систем исходя из класса. Требования к защите определяются на основе актуальных угроз, которые оператор определяет в Модели угроз.
На самом деле, факт регистрации «Положения…» в Минюсте, событие, безусловно, знаковое. Однако утверждать о «новом Четверокнижие», об изменениях в «законодательстве» или чем-то подобном не стоит. Расклад не изменился, по крайней мере, пока.
8498 . 3057
марта 2, 2010 at 18:09
Вы не поверите: ПП-781 отсылает к Методам и способам, а не к Основным мероприятиям
)
[Ответить]
Волков Алексей Reply:
марта 3, 2010 at 16:51
Так это всегда было – просто почему-то разработаны методы и способы не были.
Теперь можно, по идее, “четверокнижие” упразднить или придать ему рекомендательно-ознакомительный статус (по сути, он такой и есть – тут писали уже про то что в Минюсте он не зарегистрирован).
[Ответить]
марта 2, 2010 at 18:12
Вот забавное несоответствие или неточная формулировка в новом Приказе:
гл2. ст2.1
“Методами и способами защиты информации от несанкционированного доступа являются:
….
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия
…”
И ниже идет:
гл2. ст2.12
“Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).”
Что же тут имеется ввиду по фразой “прошедших в установленном порядке процедуру оценки соответствия ” … если оценка соответствия это декларация\аттестация, это понятно…но почему средства, а не система.
А если же это про сертификацию средств, то как понимать.. должны или могут…?
Как думаете?
[Ответить]
Волков Алексей Reply:
марта 3, 2010 at 16:49
Представляется, что оценка соответствия СРЕДСТВА защиты информации – это не что иное, как сертификация его ФСТЭКом, получение “гербовой голограммы” и последующее включение средства в Реестр сертифицированных СЗИ. Здесь сразу бросается в глаза некоторое разночтение в документах: в только что вышедшем положении “обязательная оценка соответствия” применяется для систем 1 класса, а в ПП781 п. 5 написано, что “средства защиты ИС проходят обязательную оценку соответствия в установленном порядке” без привязки к чему-либо. Поскольку ПП есть документ вышестоящей инстанции, то ориентироваться надо на него. Радоваться будем тогда, когда этот п.5 исключат.
[Ответить]
марта 3, 2010 at 8:31
“Минюст зарегистрировал приказ …Другими словами, документ … вступил в силу.”
Пока не опубликован – не вступил
Евгений, у вас описка
[Ответить]
Царев Евгений Reply:
марта 3, 2010 at 13:15
Есть процедура, после которой НПА вступает в силу. Обязательным этапом является официальное опубликование (в Российской газете например). Сейчас документ можно найти http://www.consultant.ru/online/base/?req=doc;base=LAW;n=97942 и в Гаранте, но официально он нигде не опубликован, так что, еще не вступил в силу технически
[Ответить]
Волков Алексей Reply:
марта 3, 2010 at 16:52
Так это дело техники…
[Ответить]
swan Reply:
марта 4, 2010 at 0:00
Является ли появление в интернете – опубликованием ?
[Ответить]
Волков Алексей Reply:
марта 4, 2010 at 10:20
Нет, не является. Есть закон о порядке публикования законов (5-ФЗ по-моему), там все написано. Конкретно – публикация должна происходить в специальных изданиях (по-моему, “Собрание законродательства Российской Федерации”).
Евгений Царев Reply:
марта 4, 2010 at 17:30
Только в специзданиях
марта 3, 2010 at 10:22
Спорный вопрос, что первичнее к использованию, четверокнижие или это положение. Всё же документ с регистрацией в минюсте выглядит как-то предпочтительнее. У нас многие юристы отнекивались, что мол четверокнижие не зарегистрировано, поэтому оно нам не может указывать, что делать, а что не делать.
[Ответить]
марта 3, 2010 at 17:06
Безусловно, событие знаковое – полностью согласен с Майей. На самом деле “методы и способы” это “высококонцентрированное” четверокнижие – дескать, вот что нужно делать, а как нужно делать – смотри “основные мероприятия…”, “рекомендации…” и т.д. Но надо отметить, что ФСТЭК пошел навстречу операторам – требования гораздо проще выполнить, особенно тем, у кого СУИБ уже реализована, а СЗПДн в нее “интегрирована”.
[Ответить]
марта 4, 2010 at 18:38
Приказ упрощает многие вещи.
Процедура создания или “приведения в соответствие” СЗПДн теперь более прозрачна: “152-ФЗ -> ПП781 -> Приказ 58, ссылка на Приказ Трех + Методика определения угроз”.
Кроме того, он снимает требование “Основных мероприятий” обязательного получения лицензии на деятельность по ТЗКИ для операторов с ИСПДн класса К1, что требует само по себе немалых трат.
Так что изменений в законодательстве нет, но порядка и ясности больше.
[Ответить]
марта 11, 2010 at 9:58
опубликован 5 марта, вступает в силу 16 марта (с Российской Газеты)
[Ответить]