###
  • Windows 7
  • Windows 8
  • Windows XP
  • Windows общее
  • Железо
  • Интернет
  • Полезно знать
  • Программы
  • Софт для Windows

    • Постановление правительства российской федерации 1119. Постановление об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных — Российская газета. Регулярный контроль за выполнением требований

    16.11.2023 Софт для Windows

    В соответствии со статьей 19 Федерального закона “О персональных данных”Правительство Российской Федерации постановляет:
    1. Утвердить прилагаемые требования к защите персональных данных при их обработке в информационных системах персональных данных.
    2. Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных”(Собрание законодательства Российской Федерации, 2007, № 48, ст. 6001).

    Председатель Правительства

    Российской Федерации

    Д. Медведев

    Требования
к защите персональных данных при их обработке в информационных системах персональных данных
(утв. постановлением Правительства РФ от 1 ноября 2012 г. № 1119)

    1. Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) и уровни защищенности таких данных.

    2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона “О персональных данных”.

    Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

    3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

    4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона “О персональных данных”.

    5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.
    Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.
    Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона “О персональных данных”.

    Постановление Правительства РФ №1119 от 01.11.2012 г. похоронило уже ставшими всем привычными классы информационных систем персональных данных.

    В место классов, согласно новому постановлению, устанавливаются четыре уровня защищённости персональных данных при их обработке в информационных системах и требования для каждого из них. Отнесение информационных систем к тому или иному уровню защищённости производится в зависимости от типа персональных данных, который обрабатывает информационная система, типа актуальных угроз, количества обрабатываемых информационной системой субъектов персональных данных и от того, персональные данные какого контингента обрабатываются.

    Информационные системы персональных данных (ИСПДн), согласно 5 пункту Постановления №1119 подразделяются на 4 группы:

    • Cпециальные ИСПДн

      если в ИСПДн обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

    • Биометрические ИСПДн

      если в ИСПДн обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных;

    • Общедоступные ИСПДн

      если в ИСПДн обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных";

    • Иные ИСПДн

      если в ИСПДн обрабатываются персональные данные субъектов персональных данных, не представленные в трех предыдущих группах.

    По форме отношений между вашей организацией и субъектами, обработка подразделяется на 2 вида:

    • обработка персональных данных сотрудников (субъектов, с которыми ваша организация связана трудовыми отношениями);
    • обработка персональных данных субъектов, не являющихся сотрудниками вашей организации.

    По количеству субъектов, ПДн которых обрабатываются, Постановлением №1119 определены только 2 категории:

    • менее 100 000 субъектов;
    • более 100 000 субъектов;

    И наконец, типы актуальных угроз:

    • угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
    • угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
    • угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

    К ак установить тип актуальных угроз не регламентировано. Требования ПП-1119 не предлагают никаких методов и способов их нейтрализации. Если раньше оператор мог выбрать классификацию типовой ИСПДн по таблице или классификацию специальной ИСПДн по результатам модели угроз, то теперь выбора нет. Уровень защищенности всегда определяется, исходя из актуальности угроз. Оператор вряд ли сможет определить их самостоятельно - придется обращаться в вышестоящую организацию или к консультанту. Проще всего пойти по пути наименьшего сопротивления, т.е. определить тип актуальной угрозы 3 типа, и забыть про недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, но это необходимо будет обосновать. Весь вопрос как?, возвращаясь к началу абзаца.
    Тема актуальности угроз информационных систем персональных данных очень важна, ведь от правильно описанных угроз зависит насколько грамотно будет защищена система, а также сколько будет стоить защита для оператора персональных данных.

    Е сли Вы определились с исходными данными для конкретной ИСПДн, в том числе типом актуальных угроз, то можете определить её уровень защищенности. Для удобства определения уровня защищенности воспользуйтесь следующей таблицей, которая сделана на основе ПП-1119:

    Тип ИСПДн

    Сотрудники оператора

    Количество субъектов

    Тип актуальных угроз

    1
    (НДВ ОС)

    2
    (НДВ ПО)

    3
    (Без НДВ)

    ИСПДн-С
    (специальные)

    		 Нет > 100 000 УЗ-1 УЗ-1 УЗ-2
    Нет < 100 000 УЗ-1 УЗ-2 УЗ-3
    Да

    ИСПДн-Б
    (биометрические)

    		 УЗ-1 УЗ-2 УЗ-3

    ИСПДн-И
    (иные)

    		 Нет > 100 000 УЗ-1 УЗ-2 УЗ-3
    Нет < 100 000 УЗ-2 УЗ-3 УЗ-4
    Да

    ИСПДн-О
    (общедоступные)

    		 Нет > 100 000 УЗ-2 УЗ-2 УЗ-4
    Нет < 100 000 УЗ-2 УЗ-3 УЗ-4
    Да

    В зависимости от выбранного уровня защищенности ПДн, ПП-1119 определены ряд требований по защите персональных данных, которые организуются и проводятся оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Контроль за выполнением требований должен проводиться не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

    Требования

    Уровни
    защищенности

    Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения + + + +
    Обеспечение сохранности носителей персональных данных + + + +
    Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей + + + +
    Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз + + + +
    Назначение должностного лица, ответственного за обеспечение безопасности персональных данных в ИСПДн + + + -
    Ограничение доступа к содержанию электронного журнала сообщений + + - -
    Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе + - - -
    Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности + - - -

    О пределившись с требованиями по защите персональных данных в соответствии с ПП-1119, можно переходить к выбору организационных и технических мер по обеспечению безопасности персональных данных, исходя из требований Приказа ФСТЭК России №21 от 18.02.2013г. , направленных на нейтрализацию актуальных угроз безопасности персональных данных.

    Ч то делать со средствами защиты информации, сетификаты на которые были выданы ранее для определённых классов ИСПДн?

    В соответствии с информационным сообщением ФСТЭК России от 20 ноября 2012 г. N 240/24/4669 "Об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных", сертификаты соответствия, выданные ФСТЭК России до вступления в силу нормативного правового акта ФСТЭК России (имеется ввиду Приказ №21), устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, переоформлению не подлежат.
    Cредства защиты информации, которые могут использоваться для защиты персональных данных, обрабатываемых в информационных системах персональных данных 1 класса, могут применяться для обеспечения защищенности персональных данных, обрабатываемых в информационных системах персональных данных, до 1 уровня включительно;
    Cредства защиты информации, которые могут использоваться для защиты персональных данных, обрабатываемых в информационных системах персональных данных 2 класса, могут применяться для обеспечения 4 уровня защищенности персональных данных, обрабатываемых в информационных системах персональных данных.

    ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

    ПОСТАНОВЛЕНИЕ

    Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных


    Утратило силу с 15 ноября 2012 года на основании
    постановления Правительства Российской Федерации
    от 1 ноября 2012 года N 1119
    ____________________________________________________________________

    В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации

    постановляет:

    1. Утвердить прилагаемое Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.

    2. Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением.

    Председатель Правительства
    Российской Федерации

    Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных

    УТВЕРЖДЕНО
    постановлением Правительства
    Российской Федерации
    от 17 ноября 2007 года N 781

    1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы). *1)

    Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

    2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

    Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

    Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

    3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. *3.1)

    Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.

    4. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.

    5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.

    6. Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства.

    Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации.*6.2)

    7. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.

    8. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

    9. Возможные каналы утечки информации при обработке персональных данных в информационных системах определяются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

    10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.

    11. При обработке персональных данных в информационной системе должно быть обеспечено:

    а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

    б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

    в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

    г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

    д) постоянный контроль за обеспечением уровня защищенности персональных данных.

    12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

    а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

    б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

    в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

    г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

    д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

    е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

    ж) учет лиц, допущенных к работе с персональными данными в информационной системе;

    з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

    и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

    к) описание системы защиты персональных данных.

    13. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе оператором или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

    14. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного оператором или уполномоченным лицом.

    15. Запросы пользователей информационной системы на получение персональных данных, включая лиц, указанных в пункте 14 настоящего Положения, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора или уполномоченного лица.

    16. При обнаружении нарушений порядка предоставления персональных данных оператор или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.

    17. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.

    В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами информационных систем, а под контрольными тематическими исследованиями - периодически проводимые тематические исследования.

    Конкретные сроки проведения контрольных тематических исследований определяются Федеральной службой безопасности Российской Федерации.

    18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

    19. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

    Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.

    20. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

    21. Особенности разработки, производства, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и предоставления услуг по шифрованию персональных данных при их обработке в информационных системах устанавливаются Федеральной службой безопасности Российской Федерации.

    Электронный текст документа
    подготовлен ЗАО "Кодекс" и сверен по:
    Собрание законодательства
    Российской Федерации,
    N 48, 26.11.2007, ст.6001

    Руки, давно тянувшиеся к клавиатуре по поводу нового шедевра нормативного регулирования, уже отбиты до костей. Больше сдерживать себя и терпеть не удается. Придется написать. Тем более, что сегодня Постановление от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", которое отменяет Постановление от 17.11.2007 № 781 вступает в силу. Семь дней со дня опубликования истекают.

    Если честно, реакция коллег из профессионального сообщества на новое постановление, фактически определяющего систему построения технической безопасности обработки персональных данных в информационных системах, меня не просто удивила, а, скорее, озадачила. Части, и немалой, оно понравилось, поскольку не содержит, по их мнению, ничего принципиально нового, и гайки дальше не закручивает, а количество требований по сравнению с ПП-781 даже уменьшается. Другая часть коллег документ ругает, но очень обще, в основном за отсутствие конкретики.

    У меня о требованиях сложилось несколько иное мнение, я кратко высказывал его на сегодняшнем вебинаре, проводившемся совместно с компанией «Код Безопасности», и количество вопросов, поступивших по этому поводу, окончательно подтолкнуло меня к написанию этого поста.

    Для того, чтобы систематизировать свое видение, я придумал несколько полочек, по которым свою оценку документа и разложу. Извините, букв будет много. Очень. Слова тщательно подбирал, так что категория читающих может быть и 0+.

    Полочка первая. Соответствие закону. Выпускв свет ПП-1119 является прямым требованием пунктов 1 и 2 части 3 ст.19 новой редакции 152-ФЗ «О персональных данных». Именно это позволяет мне очень резко оценить состояние дел на этой полочке. Постановление Правительства закону не соответствует. Закон предписывал определить уровни защищенности и требования к ним в зависимости от пяти факторов:

    · возможного вреда субъекту персональных данных,

    · объема обрабатываемых персональных данных,

    · содержания обрабатываемых персональных данных,

    · вида деятельности, при осуществлении которого обрабатываются персональные данные,

    · актуальности угроз безопасности персональных данных.

    Виды деятельности, и, что особенно важно, вред субъекту в принятом документе вообще отсутствуют как квалифицирующие признаки. В п.7 Требований оператору «совсем не гуманно», по другому сказать не могу, предлагается самостоятельно определить тип угроз безопасности персональных данных, актуальных для информационной системы, с учетом оценки возможного вреда, руководствуясь несуществующими пока документами ФСБ и ФСТЭК. Т.е. зав.детсадом или начальник отдела автоматизации трубопрокатного завода (поскольку заниматься подобными проблемами в подобных организациях больше просто некому) будут оценивать вред от разглашения данных персонала, воспитуемых, посетителей и их родственников. При полном отсутствии в стране методических наработок по этой проблеме. Тот, кто хоть немного сталкивался с подобными вопросами, знает, что проблема определения размера вреда при нарушении гражданских прав является одной из самых сложных в юриспруденции и судопроизводстве. Но, видимо, вспомнив классический постулат о возможностях каждой кухарки, авторы решили, что решить проблему можно краудсорсингом. Операторов-то по оценке Роскомнадзора – порядка семи миллионов. Глядишь, чего и наизобретают. Классический пример перекладывания проблемы с одной головы на другую, сами знаете, каких.

    С видами деятельности тоже засада. Принимая во внимание, что новая редакция закона не оставляет места для отраслевых стандартов работы с персональными данными, учитывать эти самые виды придется одним только способом – придумывая для них дополнительные к изобретенным ФСБ и ФСТЭК угрозы безопасности, что, собственно, и прописано в частях 5 и 6 той же статьи 19 закона. Точка. Только определить новые угрозы, а не предусмотреть какие-либо послабления, подобные тем, что в свое время согласовал со ФСТЭКом Минздрав в своих методических документах.

    Полочка вторая. Методология. Полочка самая …плохо повешенная. Так как в методологии – самые главные, ключевые проблемы документа. Объявляя главными угрозами, неминуемо ведущими к установлению высших уровней защищенности (см. таблицу 1), недекларированные (недокументированные) возможности в системном и прикладном программном обеспечении, Требования не предлагают вообще никаких методов и способов их нейтрализации. Ибо такими способами может быть только проверка этого самого ПО на отсутствие закладок и прочих вредных привычек. А этого от операторов, во всяком случае в ПП-1119 никто не требует.

    Таблица 1

    Тип ИСПДн

    Сотрудники оператора

    Количество субъектов

    Тип актуальных угроз

    1

    2

    3

    ИСПДн-С

    Нет

    > 100 000

    УЗ-1

    УЗ-1

    УЗ-2

    Нет

    < 100 000

    УЗ-1

    УЗ-2

    УЗ-3

    Да

    ИСПДн-Б

    УЗ-1

    УЗ-2

    УЗ-3

    ИСПДн-И

    Нет

    > 100 000

    УЗ-1

    УЗ-2

    УЗ-3

    Нет

    < 100 000

    УЗ-1

    УЗ-3

    УЗ-4

    Да

    ИСПДн-О

    Нет

    > 100 000

    УЗ-2

    УЗ-2

    УЗ-4

    Нет

    < 100 000

    УЗ-2

    УЗ-3

    УЗ-4

    Да

    Лечиться от логических бомб, бэк-доров и иной нечисти предлагают старыми проверенными методами - клистиром с патефонными иголками и гипсованием непереломанных конечностей. См. таблицу 2.

    Таблица 2

    Требования

    Уровни

    защищенности

    1

    2

    3

    4

    Режим обеспечения безопасности помещений, где обрабатываются персональные данных

    Сохранность носителей персональных данные

    Перечень лиц, допущенных к персональным данным

    СЗИ, прошедшие процедуру оценки соответствия

    		+

    Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным

    - -

    Каким образом использование сертифицированных межсетевых экранов и назначение ответственного подразделения (или ответственного лица) может помочь предотвратить воздействие операционной системы на обрабатываемые данные знают, видимо, только авторы.

    Полочка третья. Терминология. А это – самая загадочная часть документа. Откуда появились «сотрудники оператора» и почему они не работники, правовой статус которых четко описан Трудовым кодексом – вопрос простой и очевидный. А вот что такое «электронный журнал сообщений» (п.15) и чем он отличается от «электронного журнала безопасности» (п.16), если отличается вообще – тайна есть великая. Я догадываюсь, что речь идет о логах. Логах чего? ОС? БД? Приклада? СЗИ? Всего вместе или чего-то в отдельности? Вопросы без ответов.

    Постановление вводит отсутствующее в законе понятие информационной системы, обрабатывающей общедоступные персональные данные, и считает таковыми полученные только из общедоступных источников персональных данных, созданных в соответствии со ст.8 152-ФЗ.

    А если они получены по-другому, например, если это сведения, подлежащие опубликованию и обязательному раскрытию, как сведения из ЕГРЮЛ и ЕГРИП, являющиеся общедоступными в соответствии с Федеральным законом о государственной регистрации юрлиц и индивидуальных предпринимателей. Или сведения об аффилированных лицах эмитента ценных бумаг. Или персональные данные кандидатов в депутаты, подлежащие опубликованию. Как быть с ними? Опять вопрос, не имеющий ответа.

    Наконец, оценка соответствия. Термин, не имеющий пояснений применительно к СЗИ ни в одном акте, кроме закрытого Постановления № 330, продолжает кочевать по нормативной базе. Но даже если это Постановление оператор видел, понять, каким образом осуществляется оценка соответствия в ходе государственного контроля и надзора, ему не дано. И оценить последствия ожидания прихода контролера и его поведения при виде несертифицированных средств тоже. Ну, и не будем забывать, что в новой редакции закона нормативные правовые акты, касающиеся обработки персональных данных, подлежат официальному опубликованию.

    Полочка четвертая. Применимость. Постановление может заработать в полном объеме только после принятия соответствующих актов ФСБ и ФСТЭК, предусмотренных ч.4 ст.19 152-ФЗ, а также федеральными органами исполнительной власти, осуществляющими функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, Банка России, органов государственных внебюджетных фондов, иных государственных органов в части определения актуальных угроз безопасности персональных данных (ч.5 ст.19 152-ФЗ, п.2 Требований), которые отсутствуют и неизвестно когда будут приняты. Оператору в этих условиях выполнить установленные требования практически невозможно. Возвращаюсь к заведующей детсадом и начальнику отдела автоматизации трубопрокатного завода. Кто объяснит первой, что такое «недекларированные возможности системного программного обеспечения» и по каким признакам она будет оценивать актуальность этой угрозы? Что может заставить второго эти угрозы признать для своего завода актуальными и взвалить на себя дополнительные проблемы? Как они будут оценивать вред, о котором писалось при разборе первой полочки? Подождем документов ФСБ и ФСТЭК. Что-то мне подсказывает, что просто так отказаться от нейтрализации недекларированных возможностей не удастся. Банки и телеком в конце концов с этим разберутся. А что делать остальным, не имеющим профильных специалистов и лицензий ФСБ/ФСТЭК – школам и вузам, больницам и поликлиникам, ЗАГСам и центрам занятости населения, и пр., и пр.? Ничего, кроме оторопи, подобный документ у них вызвать не может.

    Резюме писать не буду. И так все ясно.