Стало появляться много вопросов об "изменении законодательства в области персональных данных".
Изменений нет.
Для начала, все что "ниже" по иерархии после федеральных законов, это уже не "законодательство в области персональных данных". Ну а если говорить об изменених вообще, то они есть, но пока совсем не критичные.
Минюст зарегистрировал приказ от 5.02.2010 № 58 "Об утверждении положения о методах и средствах защиты информации в ИСПДн". Другими словами, документ Положение о методах и способах защиты информации в информационных системах персональных данных вступил в силу. Вопрос лишь в том, что нужно исполнять?
По большому счету ничего.
Да, перечислили методы и способы защиты информации. Ну и что? Никаких обязательств на операторов этот документ не накладывает, а лишь перечисляет методы и способы защиты информационных систем исходя из класса. Требования к защите определяются на основе актуальных угроз, которые оператор определяет в Модели угроз.
На самом деле, факт регистрации «Положения…» в Минюсте, событие, безусловно, знаковое. Однако утверждать о «новом Четверокнижие», об изменениях в «законодательстве» или чем-то подобном не стоит. Расклад не изменился, по крайней мере, пока.
Вы не поверите: ПП-781 отсылает к Методам и способам, а не к Основным мероприятиям ;))
Так это всегда было — просто почему-то разработаны методы и способы не были. :) Теперь можно, по идее, «четверокнижие» упразднить или придать ему рекомендательно-ознакомительный статус (по сути, он такой и есть — тут писали уже про то что в Минюсте он не зарегистрирован).
Вот забавное несоответствие или неточная формулировка в новом Приказе:
гл2. ст2.1
“Методами и способами защиты информации от несанкционированного доступа являются:
….
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия
…”
И ниже идет:
гл2. ст2.12
“Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).”
Что же тут имеется ввиду по фразой “прошедших в установленном порядке процедуру оценки соответствия ” … если оценка соответствия это декларация\аттестация, это понятно…но почему средства, а не система.
А если же это про сертификацию средств, то как понимать.. должны или могут…?
Как думаете?
Представляется, что оценка соответствия СРЕДСТВА защиты информации — это не что иное, как сертификация его ФСТЭКом, получение «гербовой голограммы» и последующее включение средства в Реестр сертифицированных СЗИ. Здесь сразу бросается в глаза некоторое разночтение в документах: в только что вышедшем положении «обязательная оценка соответствия» применяется для систем 1 класса, а в ПП781 п. 5 написано, что «средства защиты ИС проходят обязательную оценку соответствия в установленном порядке» без привязки к чему-либо. Поскольку ПП есть документ вышестоящей инстанции, то ориентироваться надо на него. Радоваться будем тогда, когда этот п.5 исключат. :)
«Минюст зарегистрировал приказ …Другими словами, документ … вступил в силу.»
Евгений, у вас описка ;-) Пока не опубликован — не вступил
Есть процедура, после которой НПА вступает в силу. Обязательным этапом является официальное опубликование (в Российской газете например). Сейчас документ можно найти http://www.consultant.ru/online/base/?req=doc;base=LAW;n=97942 и в Гаранте, но официально он нигде не опубликован, так что, еще не вступил в силу технически
Так это дело техники…
Является ли появление в интернете — опубликованием ?
Нет, не является. Есть закон о порядке публикования законов (5-ФЗ по-моему), там все написано. Конкретно — публикация должна происходить в специальных изданиях (по-моему, «Собрание законродательства Российской Федерации»).
Только в специзданиях
Спорный вопрос, что первичнее к использованию, четверокнижие или это положение. Всё же документ с регистрацией в минюсте выглядит как-то предпочтительнее. У нас многие юристы отнекивались, что мол четверокнижие не зарегистрировано, поэтому оно нам не может указывать, что делать, а что не делать.
Безусловно, событие знаковое — полностью согласен с Майей. На самом деле «методы и способы» это «высококонцентрированное» четверокнижие — дескать, вот что нужно делать, а как нужно делать — смотри «основные мероприятия…», «рекомендации…» и т.д. Но надо отметить, что ФСТЭК пошел навстречу операторам — требования гораздо проще выполнить, особенно тем, у кого СУИБ уже реализована, а СЗПДн в нее «интегрирована».
Приказ упрощает многие вещи.
Процедура создания или «приведения в соответствие» СЗПДн теперь более прозрачна: «152-ФЗ -> ПП781 -> Приказ 58, ссылка на Приказ Трех + Методика определения угроз».
Кроме того, он снимает требование «Основных мероприятий» обязательного получения лицензии на деятельность по ТЗКИ для операторов с ИСПДн класса К1, что требует само по себе немалых трат.
Так что изменений в законодательстве нет, но порядка и ясности больше. :)
опубликован 5 марта, вступает в силу 16 марта (с Российской Газеты)