среда, 24 июля 2013 г.

Никто кроме ФСТЭК


Читая различные статьи о ПДн, часто встречаю слово "болото", законодательство в этой области все еще сырое и мутное. 
15 июля ФСТЭК России опубликовал информационное письмо № 240/22/2637, разъясняющее ряд важных вопросов связанных с ПДн, например, про «оценку эффективности» принятых мер по обеспечению безопасности  (п. 4 ч. 2 ст. 19 ФЗ № 152 «О ПДн») или разъяснение использования  понятий «информационная система» и «автоматизированная система»,  за что огромное им человеческое спасибо. Общая реакция сообщества положительная, даже «методологическим лидером» назвали. http://lukatsky.blogspot.ru/2013/07/17-21.html
Ясности стало больше, но вопросы еще остались, и их много.
После выхода 1119 Постановления Правительства ни один курс по ПДн не обходится без вопросов  об определении типа угроз безопасности и о перечне угроз.
Разъяснить это мог бы ФСТЭК, который как-то попытался соскочить. В п. 9 указанного выше письма ФСТЭК заявляет, что ФЗ № 152 «о ПДн» не предусматривает разработку ими «иных документов», в том числе по моделированию угроз безопасности ПДн.
Уважаемый регулятор не врет, но явно лукавит. У него есть все соответствующие полномочия.
Рекомендуя операторам определять тип угроз самостоятельно, ФСТЭК ссылается на п. 7 Постановления правительства № 1119. Указанный пункт в свою очередь вменяет в обязанность оператору учитывать НПА, разработанные ФОИВ, в рамках их полномочий, в исполнение ч. 5 ст. 19 ФЗ № 152 «О ПДн». И, если верить п. 1 ч.3 Положения № 1085 «о ФСТЭК», это как раз про них.
Рекомендации (именно методические рекомендации, не являющиеся строго обязательными) существенно упростили бы жизнь многим операторам. Ваше информативное письмо внесло немного ясности. Сделайте еще один шаг в сторону методического руководства.
Ждем и надеемся …

Дальше много буков цитаты из соответствующих пунктов.
Информационное письмо ФСТЭК России № 240/22/2637
п. 9.
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 издан во исполнение части 4 ст. 19 ФЗ №152-ФЗ «О персональных данных». Указанным Федеральным законом разработка ФСТЭК России иных документов по обеспечению безопасности персональных данных, в том числе по моделированию угроз безопасности персональных данных, не предусмотрена.            Определение типов угроз безопасности персональных данных осуществляется оператором в соответствии с п. 7 … утвержденных Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119

Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119
п. 7
Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных",  и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

ФЗ № 152 "О персональных данных".
ч. 5 ст. 19
Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, … в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, …

Положение о ФСТЭК Указ Президента Российской Федерации от 16 августа 2004 г. № 1085
п. 1
ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
3) обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, … ;



Комментариев нет:

Отправить комментарий