Содержание
Напомним, что операторам персональных данных необходимо организовать и провести целый комплекс мероприятий правового, организационного, режимного и технического характера до конца 2010 года.
Проведение таких работ связано с существенными финансовыми затратами.
Так, по оценке ряда специалистов, расходы на проведение сертификации (аттестации) ИСПДн составляют в среднем от 1 до 7 млн рублей. При этом расходы на проведение мероприятий по защите персональных данных (далее - ПДн) в смету расходов бюджета не заложены. Не секрет, что отсутствие средств в бюджете на проведение соответствующих мероприятий явилось одним из поводов переноса срока введения в действие Федерального закона от 27.07.2006 № 152-ФЗ (далее - ФЗ № 152-ФЗ). Однако существенные изменения в сметы расходов на 2010 год тоже не были заложены.
Начиная с 15 марта 2010 года ситуация несколько упростилась и появилась возможность снизить расходы на проведение мероприятий по защите ПДн. Связаны данные изменения с утверждением заместителем директора ФСТЭК решения от 05.03.2010, которым отменено применение двух методических документов ФСТЭК России:
- Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директором ФСТЭК России от 15.02.2008 (далее - Основные мероприятия);
- Рекомендации по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России от 15.02.2008.
Данное решение явилось логическим продолжением издания приказа ФСТЭК России от 05.02.2010 № 58 (далее - приказ № 58), утвердившего Положение о методах и способах защиты информации в информационных системах ПДн (комментарий к документу читайте в номере 4 (апрель) "БУХ.1С" за 2010 год).
Несмотря на то, что в целом нормы приказа № 58, дублируют положения Основных мероприятий, существенные различия в этих двух документах все же имеются. Основным отличием, по мнению автора, является предоставление большей "степени свободы" операторам ПДн.
Например, в отличие от Основных мероприятий в приказе № 58 не определен порядок проведения оценки соответствия ИСПДн требованиям безопасности. Соответственно, проведение обязательной аттестации (сертификации) ИСПДн 1 и 2 класса в настоящее время не предусмотрено. Данное изменение можно рассматривать как положительное, так как отмена аттестации (сертификации) позволит сэкономить операторам ПДн.
Также несколько претерпела изменение ситуация в части проведения контроля на наличие недекларированных возможностей. Ранее в пункте 4.2 Основных мероприятий содержалось требование об обязательном проведении контроля на наличие недекларированных возможностей в программном и программно-аппаратном обеспечении независимо от класса ИСПДн в организации. В приказе № 58 предусмотрен обязательный контроль отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в ИСПДн 1 класса, а необходимость проведения контроля в отношении средств, применяемых в ИСПДн 2 и 3 классов, определяется оператором (уполномоченным лицом).
Кроме того в качестве еще одного положительного изменения можно рассматривать отмену требования о необходимости наличия лицензии на осуществление деятельности по технической защите конфиденциальной информации у операторов ИСПДн при их обработке в ИСПДн 1, 2 и 3 (распределенные системы) классов. В данной части необходимо отметить, что в случае, если оператор ПДн будет самостоятельно проводить мероприятия по технической защите ПДн, то поименованная выше лицензия ему будет необходима.
В случае, если работы по технической защите ПДн будет осуществлять сторонняя организация - лицензиат ФСТЭК России, а оператор будет исключительно обрабатывать данные в ИСПДн, то лицензия такому оператору не требуется.
В завершение можно обратить внимание, что в Основных мероприятиях ранее содержалось еще одно требование, которое не нашло отражение в приказе № 58, о необходимости проведения доработки (модернизации) системы защиты ПДн в случае изменения состава или структуры ИСПД, класса ИСПДн, технических особенностей ее построения, изменения состава угроз безопасности персональных данных в ИСПДн. Однако в данном случае, надо помнить, что система защиты ПДн напрямую зависит от таких показателей как состав ПДн, класс ИСПДн и т. п., и соответственно при изменении этих показателей доработка системы защиты ПДн будет обязательна.
С учетом изложенного, принятое заместителем директора ФСТЭК России решение с одной стороны позволяет сэкономить ресурсы многих организаций, однако неопределенность в части оценки соответствия ИСПДн требованиям безопасности может породить еще большее количество вопросов и разногласий, в том числе при проведении регуляторами проверок операторов ПДн.
Новый поворот в защите ПДн - отмена двух документов ФСТЭК России
Напомним, что операторам персональных данных необходимо организовать и провести целый комплекс мероприятий правового, организационного, режимного и технического характера до конца 2010 года.
Проведение таких работ связано с существенными финансовыми затратами.
Так, по оценке ряда специалистов, расходы на проведение сертификации (аттестации) ИСПДн составляют в среднем от 1 до 7 млн рублей. При этом расходы на проведение мероприятий по защите персональных данных (далее - ПДн) в смету расходов бюджета не заложены. Не секрет, что отсутствие средств в бюджете на проведение соответствующих мероприятий явилось одним из поводов переноса срока введения в действие Федерального закона от 27.07.2006 № 152-ФЗ (далее - ФЗ № 152-ФЗ). Однако существенные изменения в сметы расходов на 2010 год тоже не были заложены.
Начиная с 15 марта 2010 года ситуация несколько упростилась и появилась возможность снизить расходы на проведение мероприятий по защите ПДн. Связаны данные изменения с утверждением заместителем директора ФСТЭК решения от 05.03.2010, которым отменено применение двух методических документов ФСТЭК России:
- Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директором ФСТЭК России от 15.02.2008 (далее - Основные мероприятия);
- Рекомендации по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России от 15.02.2008.
Данное решение явилось логическим продолжением издания приказа ФСТЭК России от 05.02.2010 № 58 (далее - приказ № 58), утвердившего Положение о методах и способах защиты информации в информационных системах ПДн (комментарий к документу читайте в номере 4 (апрель) "БУХ.1С" за 2010 год).
Несмотря на то, что в целом нормы приказа № 58, дублируют положения Основных мероприятий, существенные различия в этих двух документах все же имеются. Основным отличием, по мнению автора, является предоставление большей "степени свободы" операторам ПДн.
Например, в отличие от Основных мероприятий в приказе № 58 не определен порядок проведения оценки соответствия ИСПДн требованиям безопасности. Соответственно, проведение обязательной аттестации (сертификации) ИСПДн 1 и 2 класса в настоящее время не предусмотрено. Данное изменение можно рассматривать как положительное, так как отмена аттестации (сертификации) позволит сэкономить операторам ПДн.
Также несколько претерпела изменение ситуация в части проведения контроля на наличие недекларированных возможностей. Ранее в пункте 4.2 Основных мероприятий содержалось требование об обязательном проведении контроля на наличие недекларированных возможностей в программном и программно-аппаратном обеспечении независимо от класса ИСПДн в организации. В приказе № 58 предусмотрен обязательный контроль отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в ИСПДн 1 класса, а необходимость проведения контроля в отношении средств, применяемых в ИСПДн 2 и 3 классов, определяется оператором (уполномоченным лицом).
Кроме того в качестве еще одного положительного изменения можно рассматривать отмену требования о необходимости наличия лицензии на осуществление деятельности по технической защите конфиденциальной информации у операторов ИСПДн при их обработке в ИСПДн 1, 2 и 3 (распределенные системы) классов. В данной части необходимо отметить, что в случае, если оператор ПДн будет самостоятельно проводить мероприятия по технической защите ПДн, то поименованная выше лицензия ему будет необходима.
В случае, если работы по технической защите ПДн будет осуществлять сторонняя организация - лицензиат ФСТЭК России, а оператор будет исключительно обрабатывать данные в ИСПДн, то лицензия такому оператору не требуется.
В завершение можно обратить внимание, что в Основных мероприятиях ранее содержалось еще одно требование, которое не нашло отражение в приказе № 58, о необходимости проведения доработки (модернизации) системы защиты ПДн в случае изменения состава или структуры ИСПД, класса ИСПДн, технических особенностей ее построения, изменения состава угроз безопасности персональных данных в ИСПДн. Однако в данном случае, надо помнить, что система защиты ПДн напрямую зависит от таких показателей как состав ПДн, класс ИСПДн и т. п., и соответственно при изменении этих показателей доработка системы защиты ПДн будет обязательна.
С учетом изложенного, принятое заместителем директора ФСТЭК России решение с одной стороны позволяет сэкономить ресурсы многих организаций, однако неопределенность в части оценки соответствия ИСПДн требованиям безопасности может породить еще большее количество вопросов и разногласий, в том числе при проведении регуляторами проверок операторов ПДн.
