Pages - Menu

Страницы

16.5.13

Приказ ФСТЭК по ПДн зарегистрирован в Минюсте

15 мая долгожданный приказ ФСТЭК №21 от 18 февраля 2013 года "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" был зарегистрирован в Минюсте. В ближайшие пару дней он должен попасть в реестр зарегистрированных нормативных актов, а в течение недели он должен быть официально опубликован.

Для тех, кому лень ждать официального опубликования и хочется поскорее узнать, что же написано в приказе, рекомендую посмотреть запись семинара RISSPA, который проводился в марте. Презентация до сих пор актуальна.

Мое мнение об этом приказе не изменилось ;-) Я считаю, что это один из лучших документов, которые выпускался не только ФСТЭК, но и всеми другими регуляторами по ИБ. Есть ли к нему претензии? Наверное есть. Вон Ригель целый пост недавно написал с критикой. Мол фермеры его не поймут. Увы... Квалификацию каждого фермера не учтешь. Планируемые документы ФСТЭК по моделированию угроз и по разъяснению содержания конкретных мер вместе с 21-м приказом должны составить неплохую триаду требований по защите персональных данных.

По сути, ФСТЭК в итоге вышла на те же нормы, что прописаны в Евроконвенции - оператор самостоятельно выбирает меры защиты исходя из актуальных угроз, особенной обработки ПДн, применяемых технологий и адекватности защиты наносимому ущербу. Да, хорошо бы, если бы эта идея была прописана сразу в ФЗ-152; тогда бы не пришлось городить огород с ПП-1119 и подзаконными актами. Но что есть, то есть. ФСТЭК работала в тех условиях и при тех исходных данных, которые были спущены сверху. Поменять ФЗ-152 или ПП-1119 ФСТЭК не в состоянии.

Ну и в заключение поста напомню, что за последнее время было принято еще несколько нормативных актов по части ПДн:
  • приказ РКН "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных"
  • закон "О внесении изменений в некоторые законодательные акты РФ в связи с принятием ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".
Европа должна в ближайшее время принять новую редакцию Евроконвенции. В следующем году станет ясно, в каком варианте будут приняты новые Директивы по ПДн. В обозримом будущем должен быть принят приказ РКН по методам обезличивания, приказ ФСБ по шифрованию ПДн, отраслевая модель угроз ПДн Банка России. Из менее понятных с точки зрения прогнозов могут быть приняты поправки в КоАП по увеличению штрафов за нарушение правил обработки ПДн, проект Постановления Правительства по надзору в сфере ПДн, поправки в ФЗ-152, законопроект Аксакова, новые составы в ст.13.12 КоАП за нарушение правил защиты информации.

Так что этот год станет очень насыщенным с точки зрения законодательства по ПДн. Очень насыщенным...

30 комментариев:

  1. Unknown16 мая 2013 г. в 07:29

    Алексей, а когда нам ждать регистрацию приказа 17 о ГИС? А также Ваш вебинвр по этому приказу?

    ОтветитьУдалить
  2. Алексей Лукацкий16 мая 2013 г. в 08:28

    По 17-му приказу, думаю, тоже скоро - до конца мая

    ОтветитьУдалить
  3. Unknown16 мая 2013 г. в 09:23

    Спасибо, ждём... Начали активную работу по приведению документов организации (администрация муниципального района) к требованиям 17-му приказа, и насколько я знаю группы требований (и собственно сами требования) значительно изменились от требований, изложенных в проекте 17-го приказа.

    ОтветитьУдалить
  4. AlexBarysh16 мая 2013 г. в 10:05

    Алексей, а откуда информация? Так как на сайте Минюста нет сведений о зарегистрированных НПА от ФСТЭК после Приказа 16 (http://minjust.consultant.ru/).

    ОтветитьУдалить
  5. Unknown16 мая 2013 г. в 10:06

    Алексей, в какое обозримое будущее ожидать отраслевую модель угроз ПДн Банка России?

    ОтветитьУдалить
  6. Алексей Лукацкий16 мая 2013 г. в 14:01

    AlexBarysh: из Минюста информация

    ОтветитьУдалить
  7. Алексей Лукацкий16 мая 2013 г. в 14:01

    Robert: к осени, думаю

    ОтветитьУдалить
  8. Unknown16 мая 2013 г. в 20:40

    А как определять тип угроз?
    В приказе по этому поводу тишина. Или это будет в новой методике определения актуальности? Видел методику определения типов угроз от Минздравсоцразвития, которая одобрена ФСТЭК. Только это "костыли" какие-то. Что толку от 21 приказа (хотя мне он тоже понравился - навеяло "Общими критериями"), если тип угроз не понятно как определять? Хотя многие просто считают (а некоторые региональные органы исполнительной власти рекомендуют считать) все угрозы 3-го типа. Видимо будем как в Германии - 30 лет идти к нормальной защите ПДн.

    ОтветитьУдалить
  9. Алексей Лукацкий16 мая 2013 г. в 20:55

    Актуальность определяет оператор и только он. А ФСТЭК готовит методику по уже актуальным для вас угрозам

    ОтветитьУдалить
  10. Unknown16 мая 2013 г. в 21:14

    С актуальностью понятно (и было понятно до этого). С типом не понятно, как его определить?

    ОтветитьУдалить
  11. Алексей Лукацкий16 мая 2013 г. в 22:34

    Исходя из актуальности. Я считаю актуальным только 3-й тип

    ОтветитьУдалить
  12. Unknown17 мая 2013 г. в 07:32

    Алексей, а для ГИС актуальность угроз также определяет оператор? И может ли оператор ГИС исключать угрозы и соответствующие требования по ЗИ, исходя из грамотно составленной модели угроз (неактуальности угроз) ?

    ОтветитьУдалить
  13. Unknown17 мая 2013 г. в 10:13

    Согласно ПП 1119 от 01.11.2012:
    "7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18 [1] Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных"."
    Получается - какой тип хочу, такой и ставлю? А что за нормативные правовые акты имеются в виду? Пока их не видно.

    ОтветитьУдалить
  14. Алексей Лукацкий17 мая 2013 г. в 11:07

    Виталий, может

    ОтветитьУдалить
  15. Алексей Лукацкий17 мая 2013 г. в 11:08

    Леонид, именно так

    ОтветитьУдалить
  16. Алексей Лукацкий17 мая 2013 г. в 16:47

    Регистрационный номер приказа ФСТЭК по ПДн в Минюсте №28375 от 14 мая 2013 г.

    ОтветитьУдалить
  17. Unknown20 мая 2013 г. в 14:44

    Алексей, а не подскажите с какого числа данный документ вступает в силу?
    И что делать с системами, которые были приведены в соответствие с ФЗ-152, до вступления в силу данного приказа?

    ОтветитьУдалить
  18. Лицензиат20 мая 2013 г. в 18:39

    Свершилось - http://minjust.consultant.ru/page.aspx?1045253
    Беда только в том, что отсутствие п.5 не смутило ни одного "утверждальщика" и "согласовальщика"!

    ОтветитьУдалить
  19. Alex Ster22 мая 2013 г. в 13:10

    Алексей, подскажите пожалуйста какую "процедуру оценки соответствия в установленном порядке" (п.4 Приказа) должен пройти, например, приобретаемый маршрутизатор Cisco, для выставления на периметре ИСПДн предприятия (не ГИС) в качестве МЭ. Сертификация, насколько я понял из документов (ПП 1119 и Приказ №21), а так же ваших презентаций и записи семинара, вовсе не обязательна, тогда что же. Контролирующие органы, бумажки требуют, дык что им показывать в случае проверки, если не сертификат(ы).
    Спасибо.

    ОтветитьУдалить
  20. Алексей Лукацкий22 мая 2013 г. в 16:56

    По ПДн вас никто не проверит, поэтому вопрос теоретический. А формы оценки (их 7) описаны в 184-ФЗ. Среди них есть ввод в эксплуатацию

    ОтветитьУдалить
  21. Сфинкс с Невы29 мая 2013 г. в 18:26

    Этот комментарий был удален автором.

    ОтветитьУдалить
  22. Анонимный29 мая 2013 г. в 18:27

    Этот комментарий был удален автором.

    ОтветитьУдалить
  23. Анонимный29 мая 2013 г. в 18:27

    Алексей, вот такой вопрос:
    После выхода 17го приказа для ГИС, в соответствующих гос. учреждениях смогут вообще не обращаться к №21?

    Если да, то как это обосновать?
    Или требования к классам в №17 полностью перекроют соответствующие требования для УЗ из №21?

    ОтветитьУдалить
  24. Алексей Лукацкий30 мая 2013 г. в 07:36

    Вообще требования 17-го перекрывают 21-й. Там плюсиков больше в таблице с мерами

    ОтветитьУдалить
  25. Анонимный30 мая 2013 г. в 14:21

    Алексей, судя по тому проекту Приказа №17, который удалось найти, не совсем перекрывает.

    Если взять УЗ-3 по №21 и К3 по №17 (для объектового масштаба в самый раз) и рассмотреть, например, требования для виртуальной среды, то по №21 есть "идентификация и аутентификация", "управление антивирусами в виртуальной среде" и "разбиение на сегменты", а по №17 в отличие от этого есть "резервное копирование и резервирование".

    Т.е. требование ЗСВ.9 из 21го для УЗ-3 есть, а аналогичное требование ЗСВ.11 идет только для К1-К2.
    Зато ЗСВ.8 из 21го для УЗ-3 нет, а аналогичное ЗСВ.9 для К3 из 17го есть.

    ОтветитьУдалить
  26. Unknown30 мая 2013 г. в 16:14

    Алексей, а как теперь строить модель угроз? ведь со вступлением в силу ПП 1119 и 21го приказа ФСТЭК "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 14 февраля 2008" теперь неактуальна?

    ОтветитьУдалить
  27. Unknown30 мая 2013 г. в 16:15

    Этот комментарий был удален автором.

    ОтветитьУдалить
  28. Алексей Лукацкий3 июня 2013 г. в 07:57

    Евгений, ну 100%-го сочетания УЗ из 21-го приказа и КЗ из 17-го трудно добиться

    ОтветитьУдалить
  29. Алексей Лукацкий3 июня 2013 г. в 07:58

    Никита, пока стройте по ней. Любая методика использует два параметра - вероятность и ущерб. Так было, так будет

    ОтветитьУдалить
  30. Unknown5 июня 2013 г. в 16:06

    Алексей, большое спасибо. нужно было для дипломной работы

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.