22.07.2011

Поправки к Федеральному закону “О персональных данных”

Melexin

Автор: Мелехин Иван

Должность: заместитель генерального директора-технический директор компании «Информзащита»

13 июля 2011 года Советом Федераций был одобрен Федеральный закон «О внесении изменений в Федеральный закон «О персональных данных», принятый Государственной Думой. От вступления в силу положений этого закона нас отделяет только подписание этого закона Президентом и его официальное опубликование. Данный закон вызвал бурное обсуждение в кругах экспертов, результатом которого стало, в том числе, и известное открытое письмо Президенту РФ. Но сейчас хотелось бы проанализировать положения данного закона с точки зрения практической применимости и здравого смысла. Основной вопрос, который возникает у всех операторов персональных данных, звучит так «Что нам нужно делать в связи с принятием данного закона?».

Для получения ответа необходимо понять, что принципиально изменилось в процедуре, описанной в ФЗ-152. Основные изменения содержаться в поправках к 18 и 19 статьям 152-ФЗ.

Суть изменений в следующем:

  1. Классификация. Правительство должно определить уровни защищенности персональных данных. Таким образом, текущий порядок классификации формально можно считать недействительным, так как он утвержден приказом ФСТЭК, ФСБ и Мининформсвязи. Но, сточки зрения здравого смысла, вероятно, этот же порядок и будет положен в основу постановления правительства об уровнях защищенности персональных данных.
  2. Требования по защите. ФСТЭК и ФСБ должны определить состав и содержание требований к уровням защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Таким образом, 781 постановление Правительства РФ видимо перестанет определять порядок обеспечения безопасности ПД в ИСПДн. Но многие его положения вошли непосредственно в 19 статью закона, так что существенных изменений здесь не произошло. Опять же с точки зрения здравого смысла, требования ФСТЭК будут основаны на « Методах и способах защиты информации от несанкционированного доступа в зависимости от класса информационной системы» изложенных в Приложении к Положению о методах и способах защиты информации в ИСПДн утвержденным 58 Приказом ФСТЭК. И требования эти будут соответствовать тому, что раньше требовалось для типовых ИСПДн.
  3. Модели угроз. В законе явно прописано, что должны быть определены угрозы оператором. Так же дополнительные угрозы могут быть определены федеральными органами исполнительной власти, осуществляющими функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органами государственной власти субъектов Российской Федерации, Банком России, органами государственных внебюджетных фондов, иными государственные органами, ассоциации, союзы и иные объединения операторов при условии согласования со ФСТЭК и ФСБ. То есть, модель угроз является обязательной для любой ИСПДн. К удивлению, в тексте закона отсутствует требование по нейтрализации определенных оператором угроз. Так же нет ссылок на нормативные документы, в соответствии с которыми должны определяться угрозы безопасности.
  4. Средства защиты. Обязательно применение средств защиты, прошедших процедуру оценки соответствия. Хочу напомнить, что процедура оценки соответствия в форме сертификации описана только для средств защиты государственной тайны. Иные процедуры оценки соответствия формально имеют место быть, но их реальная применимость связана с рядом юридических тонкостей.
  5. Контроль и надзор. Для негосударственных ИСПДк Правительство может наделить ФСТЭК и ФСБ полномочиями по контролю.

Таким образом, для нормальной реализации данного закона должны быть дополнительно приняты как минимум следующие нормативные документы:

  • Постановление Правительства об уровнях защищенности ПД;
  • Постановление Правительства о процедуре оценки соответствия средств защиты ПД;
  • Постановление Правительства о порядке согласования дополнительных угроз;
  • Требования по защите ФСТЭК и ФСБ в зависимости от уровней защищенности;
  • Наделение Правительством ФСТЭК и ФСБ полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Что же придется переделывать оператору в части технической защиты ИСПДн, который уже провел работы по приведению своих систем в соответствие требованиям законодательства? Во-первых, провести повторную классификацию систем. Во-вторых, в случае если в рамках ранее разработанных моделей угроз были снижены базовые требования к классу — недостающие требования придется реализовывать. В-третьих, придется использовать какие-либо средства защиты, прошедшие процедуру оценки соответствия.