16.05.2013

Приказ ФСТЭК по ПДн зарегистрирован в Минюсте

15 мая долгожданный приказ ФСТЭК №21 от 18 февраля 2013 года "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" был зарегистрирован в Минюсте. В ближайшие пару дней он должен попасть в реестр зарегистрированных нормативных актов, а в течение недели он должен быть официально опубликован.

Для тех, кому лень ждать официального опубликования и хочется поскорее узнать, что же написано в приказе, рекомендую посмотреть запись семинара RISSPA, который проводился в марте. Презентация до сих пор актуальна.

Мое мнение об этом приказе не изменилось ;-) Я считаю, что это один из лучших документов, которые выпускался не только ФСТЭК, но и всеми другими регуляторами по ИБ. Есть ли к нему претензии? Наверное есть. Вон Ригель целый пост недавно написал с критикой. Мол фермеры его не поймут. Увы... Квалификацию каждого фермера не учтешь. Планируемые документы ФСТЭК по моделированию угроз и по разъяснению содержания конкретных мер вместе с 21-м приказом должны составить неплохую триаду требований по защите персональных данных.

По сути, ФСТЭК в итоге вышла на те же нормы, что прописаны в Евроконвенции - оператор самостоятельно выбирает меры защиты исходя из актуальных угроз, особенной обработки ПДн, применяемых технологий и адекватности защиты наносимому ущербу. Да, хорошо бы, если бы эта идея была прописана сразу в ФЗ-152; тогда бы не пришлось городить огород с ПП-1119 и подзаконными актами. Но что есть, то есть. ФСТЭК работала в тех условиях и при тех исходных данных, которые были спущены сверху. Поменять ФЗ-152 или ПП-1119 ФСТЭК не в состоянии.

Ну и в заключение поста напомню, что за последнее время было принято еще несколько нормативных актов по части ПДн:
  • приказ РКН "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных"
  • закон "О внесении изменений в некоторые законодательные акты РФ в связи с принятием ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".
Европа должна в ближайшее время принять новую редакцию Евроконвенции. В следующем году станет ясно, в каком варианте будут приняты новые Директивы по ПДн. В обозримом будущем должен быть принят приказ РКН по методам обезличивания, приказ ФСБ по шифрованию ПДн, отраслевая модель угроз ПДн Банка России. Из менее понятных с точки зрения прогнозов могут быть приняты поправки в КоАП по увеличению штрафов за нарушение правил обработки ПДн, проект Постановления Правительства по надзору в сфере ПДн, поправки в ФЗ-152, законопроект Аксакова, новые составы в ст.13.12 КоАП за нарушение правил защиты информации.

Так что этот год станет очень насыщенным с точки зрения законодательства по ПДн. Очень насыщенным...

30 коммент.:

Виталий Трофименко комментирует...

Алексей, а когда нам ждать регистрацию приказа 17 о ГИС? А также Ваш вебинвр по этому приказу?

Алексей Лукацкий комментирует...

По 17-му приказу, думаю, тоже скоро - до конца мая

Виталий Трофименко комментирует...

Спасибо, ждём... Начали активную работу по приведению документов организации (администрация муниципального района) к требованиям 17-му приказа, и насколько я знаю группы требований (и собственно сами требования) значительно изменились от требований, изложенных в проекте 17-го приказа.

AlexBarysh комментирует...

Алексей, а откуда информация? Так как на сайте Минюста нет сведений о зарегистрированных НПА от ФСТЭК после Приказа 16 (http://minjust.consultant.ru/).

Robert Ravilich комментирует...

Алексей, в какое обозримое будущее ожидать отраслевую модель угроз ПДн Банка России?

Алексей Лукацкий комментирует...

AlexBarysh: из Минюста информация

Алексей Лукацкий комментирует...

Robert: к осени, думаю

Леонид Носов комментирует...

А как определять тип угроз?
В приказе по этому поводу тишина. Или это будет в новой методике определения актуальности? Видел методику определения типов угроз от Минздравсоцразвития, которая одобрена ФСТЭК. Только это "костыли" какие-то. Что толку от 21 приказа (хотя мне он тоже понравился - навеяло "Общими критериями"), если тип угроз не понятно как определять? Хотя многие просто считают (а некоторые региональные органы исполнительной власти рекомендуют считать) все угрозы 3-го типа. Видимо будем как в Германии - 30 лет идти к нормальной защите ПДн.

Алексей Лукацкий комментирует...

Актуальность определяет оператор и только он. А ФСТЭК готовит методику по уже актуальным для вас угрозам

Леонид Носов комментирует...

С актуальностью понятно (и было понятно до этого). С типом не понятно, как его определить?

Алексей Лукацкий комментирует...

Исходя из актуальности. Я считаю актуальным только 3-й тип

Виталий Трофименко комментирует...

Алексей, а для ГИС актуальность угроз также определяет оператор? И может ли оператор ГИС исключать угрозы и соответствующие требования по ЗИ, исходя из грамотно составленной модели угроз (неактуальности угроз) ?

Леонид Носов комментирует...

Согласно ПП 1119 от 01.11.2012:
"7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18 [1] Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных"."
Получается - какой тип хочу, такой и ставлю? А что за нормативные правовые акты имеются в виду? Пока их не видно.

Алексей Лукацкий комментирует...

Виталий, может

Алексей Лукацкий комментирует...

Леонид, именно так

Алексей Лукацкий комментирует...

Регистрационный номер приказа ФСТЭК по ПДн в Минюсте №28375 от 14 мая 2013 г.

Олег Кромышев комментирует...

Алексей, а не подскажите с какого числа данный документ вступает в силу?
И что делать с системами, которые были приведены в соответствие с ФЗ-152, до вступления в силу данного приказа?

Лицензиат комментирует...

Свершилось - http://minjust.consultant.ru/page.aspx?1045253
Беда только в том, что отсутствие п.5 не смутило ни одного "утверждальщика" и "согласовальщика"!

Alex Ster комментирует...

Алексей, подскажите пожалуйста какую "процедуру оценки соответствия в установленном порядке" (п.4 Приказа) должен пройти, например, приобретаемый маршрутизатор Cisco, для выставления на периметре ИСПДн предприятия (не ГИС) в качестве МЭ. Сертификация, насколько я понял из документов (ПП 1119 и Приказ №21), а так же ваших презентаций и записи семинара, вовсе не обязательна, тогда что же. Контролирующие органы, бумажки требуют, дык что им показывать в случае проверки, если не сертификат(ы).
Спасибо.

Алексей Лукацкий комментирует...

По ПДн вас никто не проверит, поэтому вопрос теоретический. А формы оценки (их 7) описаны в 184-ФЗ. Среди них есть ввод в эксплуатацию

Сфинкс с Невы комментирует...
Этот комментарий был удален автором.
Евгений комментирует...
Этот комментарий был удален автором.
Евгений комментирует...

Алексей, вот такой вопрос:
После выхода 17го приказа для ГИС, в соответствующих гос. учреждениях смогут вообще не обращаться к №21?

Если да, то как это обосновать?
Или требования к классам в №17 полностью перекроют соответствующие требования для УЗ из №21?

Алексей Лукацкий комментирует...

Вообще требования 17-го перекрывают 21-й. Там плюсиков больше в таблице с мерами

Евгений комментирует...

Алексей, судя по тому проекту Приказа №17, который удалось найти, не совсем перекрывает.

Если взять УЗ-3 по №21 и К3 по №17 (для объектового масштаба в самый раз) и рассмотреть, например, требования для виртуальной среды, то по №21 есть "идентификация и аутентификация", "управление антивирусами в виртуальной среде" и "разбиение на сегменты", а по №17 в отличие от этого есть "резервное копирование и резервирование".

Т.е. требование ЗСВ.9 из 21го для УЗ-3 есть, а аналогичное требование ЗСВ.11 идет только для К1-К2.
Зато ЗСВ.8 из 21го для УЗ-3 нет, а аналогичное ЗСВ.9 для К3 из 17го есть.

Никита Новосельцев комментирует...

Алексей, а как теперь строить модель угроз? ведь со вступлением в силу ПП 1119 и 21го приказа ФСТЭК "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 14 февраля 2008" теперь неактуальна?

Никита Новосельцев комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

Евгений, ну 100%-го сочетания УЗ из 21-го приказа и КЗ из 17-го трудно добиться

Алексей Лукацкий комментирует...

Никита, пока стройте по ней. Любая методика использует два параметра - вероятность и ущерб. Так было, так будет

Никита Новосельцев комментирует...

Алексей, большое спасибо. нужно было для дипломной работы