22 Ноября, 2012

Состав и содержание

Алексей Волков
В ожидании документа от ФСТЭК, перечитал еще раз информационное сообщение и заглянул с утра в любимый всеми нами Закон, на который оно ссылается. Если переписать ч. 4 ст. 19 по-русски, получится:

Федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий устанавливаются состав и содержание:

1. Необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности;

2. Организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

В первой части речь, как мы понимаем, идет о ПП-1119, подробно рассмотренного и мной (в проекте), и многими коллегами (в оригинале). Можно было бы предположить, что в ожидаемом документе следует искать методику определения типа угроз безопасности персональных данных, актуальных для информационной системы. Но, если внимательно взглянуть в Постановление - становится понятно, что ее там не будет, поскольку, в соответствие с п. 7 ПП-1119, определение актуальных угроз

производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных"

"Ожидаемый" же документ, как мы знаем из информационного сообщения, разрабатывается в соответствие с ч. 4 ст. 19. 152-ФЗ. Кто же должен определять угрозы? Согласно ч. 5 ст. 19 152-ФЗ - это:
  • Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности;
  • органы государственной власти субъектов Российской Федерации;
  • Банк России;
  • органы государственных внебюджетных фондов;
  • иные государственные органы в пределах своих полномочий.
Как быть оператору в отсутствие этих документов, какими методиками руководствоваться при определении актуальности угроз НДВ - достоверно неизвестно, но если от ФСТЭК и ФСБ не последует никаких "методичек" - "гуляй, рванина!".

А вот обязательные (!) требования к выбору средств защиты информации для системы защиты персональных данных - напротив, очень даже стОит ожидать, поскольку п. 4 ПП-1119 в явном виде указывает на то, что выбор этот

осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных",

и никак иначе. В информационном сообщении, помимо прочего, говорится о преемственности курса и признании старых сертификатов, при этом везде употребляется фраза "может применяться". Разводить демагогию по поводу того, что "может применяться, а может и не применяться" совершенно бессмысленно, поскольку, например, такая фраза

При обеспечении защищенности персональных данных, обрабатываемых в информационных системах персональных данных, могут применяться средства защиты информации, в сертификатах соответствия на которые не приведена информация о возможности их использования для защиты персональных данных.

в документе, описывающем ОБЯЗАТЕЛЬНЫЕ требования к выбору СЗИ, ставит знак равенства между "могут" и "должны". Оценка соответствия не равно сертификация ? Идите в суд, товарищи.

Но и это не главное. Вернемся к ч. 4 ст. 19 152-ФЗ, ко второй ее части, что я написал выше. Что мы видим? Она, при определенном прочтении, полностью отвязана от первой, и потому позволяет регуляторам в своих ведомственных НПА расширить перечень требований постановления Правительства как угодно. Почему ПП-1119 такое "куцее" с точки зрения обеспечения безопасности, и почему нам так легко отдали определение актуальности НДВ? Все просто: вы можете хоть замоделироваться угрозами, но "организационные и технические меры" будьте любезны - выполните.

Такая вот "петрушка", дорогие читатели. Именно поэтому нам с Вами крайне необходимо попытаться отрихотвать и "состав", и "содержание".
или введите имя

CAPTCHA