 [Белая книгаk (white paper), формулировка позиции компании [ДиалогНаукаk Март 2010, Москва Компания [ДиалогНаукаk, системный интегратор, консультант и дистрибьютор в области информационной безопасности, информирует о произошедших изменениях законодательства РФ о персональных данных. В 2009-2010 гг. были внесены некоторые изменения в законодательство о персональных данных. Федеральный закон 266-ФЗ [1] внес изменения в ФЗ [О персональных данныхk [2] по вопросам реализации международных договоров Российской Федерации о реадмиссии1. При необходимости обработки персональных (ПДн) данных в связи с реализацией международных договоров Российской Федерации о реадмиссии: согласие субъекта персональных данных не требуется;
допускается обработка специальных категорий персональных данных;
обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных;
может осуществляться трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных.
Федеральный закон 363-ФЗ [3] исключил обязанность оператора использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Тем не менее, необходимо отметить, что использование средств криптографической защиты регламентируется нормативными документами ФСБ РФ и определяется на основе модели нарушителя. Таким образом, в случае использования каналов связи для передачи персональных данных за пределы контролируемой зоны и невозможности обеспечить защиту этой информации организационными мерами необходимо использовать криптографические средства защиты. При этом если информация передается в пределах контролируемой зоны, то в этом случае она может не защищаться криптографическими методами. Необходимо отметить, что все средства криптографической защиты информации должны иметь сертификат соответствия ФСБ на комплекс в целом, либо иметь заключение ФСБ о корректности встраивания криптографии. Закон [3] так же продлил срок до которого информационные системы персональных данных (ИСПДн) должны быть приведены в соответствие с требованиями Федерального закона [2]. Теперь информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями Федерального закона [2] не позднее 1 января 2011 года. При этом необходимо отметить, что те информационные системы, которые вводятся в эксплуатацию после 1 января 2010 года, уже должны соответствовать требованиям по защите персональных данных. 16 марта 2010 г. вступил в силу Приказ ФСТЭК России [4], в соответствии с которым принято [Положения о методах и способах защиты информации в информационных системах персональных данныхk. Утвержденное Положение определяет методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных операторами2 или уполномоченными лицами3. В Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации. В связи с изданием приказа ФСТЭК России [4], решением ФСТЭК России [5] с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных не применяются следующие методические документы ФСТЭК России: Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Таким образом, с 15 марта 2010 года методы и способы защиты информации в информационных системах персональных данных устанавливаются ФСТЭК России в следующих документах: [Базовая модель угроз безопасности ПДн при их обработке в ИСПДнk;
[Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДнk;
[Положения о методах и способах защиты информации в информационных системах персональных данныхk.
Новое Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное Приказом ФСТЭК РФ 58, вносит следующие ключевые изменения в требования по защите ПДн: отменяется обязательность аттестации ИСПДн операторов вне зависимости от классов информационных систем;
отменяется требование по обязательному наличию сертификата ФСТЭК на отсутствие недекларированных возможностей для ИСПДн 2-го класса. Данное требование остается обязательным только для ИСПДн 1-го класса;
отменяется обязательное требование по защите информации от утечки по техническим каналам. Теперь защита от данных видов угроз необходима только в том случае, если данная угроза является актуальной в соответствии с моделью угроз.
Необходимо отметить, что внесенные изменения не отменяют необходимость использования сертифицированных средств защиты информации, так как это требование содержится как в Приказе ФСТЭК РФ 58, так и в Постановлении Правительства РФ 781. Несмотря на отсутствие требования по обязательной аттестации ИСПДн ЗАО [ДиалогНаукаk рекомендует проводить данную процедуру для ИСПДн 1-го и 2-го класса, так как это позволяет получить документ, гарантирующий соответствие требованиям законодательства в области защиты ПДн. Это в свою очередь позволяет значительно упростить процедуры проверок со стороны регуляторов, а также переложить ответственность на организацию, выдавшую аттестат соответствия.
1 [Реадмиссияk - передача запрашивающим государством и принятие запрашиваемым государством лиц (граждан запрашиваемого государства, граждан третьих государств или лиц без гражданства), чей въезд, пребывание или проживание в запрашивающем государстве признаны незаконными.
2Оператор - государственные, муниципальные органы, юридические или физические лица, организующие или осуществляющие обработку персональных данных, а также определяющие цели и содержание их обработки.
3Уполномоченное лицо - лицо, которому на основании договора оператор поручает обработку персональных данных.
Источники ИНФОРМАЦИЯ О КОМПАНИИ [ДИАЛОГНАУКАk С момента образования в 1992 г. [ДиалогНаукаk является одной из ведущих российских компаний, специализирующихся в области информационной безопасности. Первыми и самыми известными отечественными продуктами, поставляемыми компанией, были антивирусы Aidstest, Doctor Web и ревизор ADinf. Сегодня [ДиалогНаукаk оказывает услуги в области системной интеграции, консалтинга и внедрения комплексных решений по защите информации. Компания занимает лидирующие позиции в сфере дистрибьюции программных продуктов для защиты от вирусов, спама, сетевых атак и других угроз информационной безопасности. [ДиалогНаукаk является поставщиком программных решений от ряда ведущих российских и зарубежных компаний рынка информационной безопасности [Доктор Вебk, [Информзащитаk, [Инфотексk, [КриптоПроk, НПП [Информационные технологии в бизнесеk, [С-Терра СиЭсПиk, [Яндексk, Acronis, Agnitum, Aladdin, ArcSight, Cisco Systems, IBM, Microsoft, Oracle, Portwise, Positive Technologies, SmartLine, Sophos, Symantec, Trend Micro, Websense и других. Постоянно растущая партнерская сеть [ДиалогНаукиk охватывает свыше 100 городов России и насчитывает более 400 компаний-партнеров. [ДиалогНаукаk является членом Ассоциации защиты информации (АЗИ), Ассоциации документальной электросвязи (АДЭ), Сообщества ABISS и Ассоциации предприятий компьютерных и информационных технологий (АП КИТ). Компания является сертифицированным партнером BSI Management Systems. Система менеджмента качества компании [ДиалогНаукаk сертифицирована на соответствие требованиям стандарта ISO 9001:2000. Свою деятельность компания [ДиалогНаукаk осуществляет на основании лицензий Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства обороны РФ. Программами и услугами от [ДиалогНаукиk пользуются тысячи корпоративных пользователей в России и других странах. В их числе крупные коммерческие компании и государственные структуры. Дополнительную информацию о компании можно найти на сайте www.DialogNauka.ru
За дополнительной информацией обращайтесь:
Отдел маркетинга ЗАО [ДиалогНаукаk
Тел.: +7(495) 980-67-76, Факс: +7(495) 980-67-75
URL: http://www.DialogNauka.ru, E-mail: [email protected]
|
