Защита ПДн по новому стилю: Минюст утвердил приказ ФСТЭК №21 (SOISO)

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
Опубликовано в:
Дождались, приказ ФСТЭК России №21 (он же SOISO) зарегистрирован в Минюсте. Приказ определяет состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн. Документ является ключевым для обеспечения безопасности ПДн.

Кратко напомню историю появления документа.

В начале ноября 2012 года было опубликовано Постановление Правительства РФ от 01.11.2012 г. №1119 "Об утверждении требований к защите ПДн при их обработке в ИСПДн". Оно отменило (признало утратившим силу) Постановление от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн",  определило уровни защищенности ПДн (про них мы уже видели упоминание в 152-ФЗ в редакции от 25.07.2011) и общие требования к ним. Помимо этого в п.4 документа сказано:

«4. Выбор средств защиты информации для СЗПДн осуществляется оператором в соответствии с нормативными правовыми актами, принятыми ФСБ России и ФСТЭК России во исполнение части 4 статьи 19 Федерального закона "О персональных данных".»

В части 4 статьи 19 152-ФЗ мы видим:

«4. Состав и содержание необходимых для выполнения установленных Правительством РФ в соответствии с частью 3 настоящей статьи требований к защите ПДн для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.»

Вот именно из-за этого ФСТЭК России и пришлось вносить правки в свои положения по защите ПДн. Регулятор пошел по пути издания нового документа, а не внесения изменений в старые. Первая версия (проект) требований появилась на сайте ФСТЭК России 7 декабря 2012 года. При этом регулятор попросил заинтересованных лиц присылать свои замечания и предложения, что мы и сделали…

В период с 28 января по 4 февраля 2013 года прошли три совещания во ФСТЭК России, на которые были привлечены внешние эксперты. Мы обсудили и внесли предложения по правкам, стараясь сделать требования по защите ПДн чуть более понятными и обоснованными, а также снизить нагрузку на операторов при их выполнении.

Последняя версию документа, которую я видел, была от 9 февраля. Она же с небольшими правками в текстовой части ушла в Минюст России уже 18 февраля. Сейчас приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (Регистрационный №28375 от 14 мая 2013г. (Минюст России)) уже доступен операторам ПДн.

Что же нового для операторов персональных данных несет данный документ?
  1. Приказ ФСТЭК России от 5 февраля 2010 №58 официально утратил силу. Это было вполне ожидаемо в связи с выходом ПП1119, ведь последняя идеология СЗПДн (уровни защищенности) требовала внесения существенных правок в прежние требования к защите.
  2. Изменился подход к выбору мер защиты. Процедура стала чуть сложнее, чем была до ПП1119, но теперь операторы ПДн могут отказываться от обязательных мер в угоду компенсирующим, учитывая их экономическую целесообразность. Подробнее об этом я уже писал тут.
  3. Существенно изменился перечень мер защиты (по сравнению с подходом из ПП781 и  Приказа ФСТЭК №58). Сейчас стало 15 групп мер, с кратким описанием содержания в приложении. Про изменение перечня мер от 1й редакции документа я писал тут. Итого сейчас мы имеем:
  • Всего мер - 109
  • Базовых мер для УЗ 4 - 27
  • Базовых мер для УЗ 3 - 41
  • Базовых мер для УЗ 2 - 63
  • Базовых мер для УЗ 1 - 69
  • Всего дополнительных (компенсирующих) мер - 40
  • Появились дополнительные меры, направленные на снижение актуальных угроз к 1 и 2 типа (НДВ). А именно могут применяться следующие меры:
    • проверка системного и (или) прикладного программного обеспечения включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых
    • тестирование информационной системы на проникновения
    • использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.
  • Требования к классам сертифицированных СЗИ приведены к уровням защищенности. Информацию свел в таблицу:
  • Появилось требование по регулярной (1 раз в 3 года) оценке эффективности реализованных мер (п.6). Что интересно, в финальной версии SOISO, которую я видел, использовался термин "оценка достаточности мер". 
  • Прописана возможность привлечения лицензиатов ФСТЭК для выполнения работ по обеспечению безопасности ПДн и (или) оценки эффективности реализованных мер (п.2, п.6).
  • Каждое из этих нововведений довольно интересно и требует глубокого вдумчивого анализа (особенно таблица с базовыми мерами) операторами ПДн. При этом меня уже радует тот факт, что можно довольно гибко подходить к выбору мер защиты, а не просто "в лоб" выполнять требования регулятора.

    Удачи с изучением документа! Там есть над чем подумать...



    Дополнительно можно посмотреть:

    И еще:

    Оцените материал:
    Total votes: 287
     
    Комментарии в Facebook
     

    Вы сообщаете об ошибке в следующем тексте:
    Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.