2 Июня, 2014

Финальный вариант проекта приказа ФСБ по персональным данным

Алексей Лукацкий
ФСБ выложила  финальный текст проекта приказа по защите персональных данных, который я критикую уже давно и на мой взгляд не зря. Что же изменилось с момента выхода 43-й  редакции? А почти ничего :-( Я обнаружил только два изменения:
  • Требования по безопасности помещений (с опечатыванием, решетками на окнах и т.п.) применяются не к местам, где ведется обработка персональных данных, а к местам, где размещены или хранятся СКЗИ и ключевые документы.
  • Теперь надо разработать еще и правила доступа таких помещений в нештатных ситуациях. 
Все остальные замечания и претензии к документу остались неучтенными, а жаль :-( 
или введите имя

CAPTCHA
Michael
3 Июня, 2014
я понял зачем в строительных гипермаркетах продаются навесные замки с надписью "Сертифицировано ФСТЭК" - это теперь СЗИ, прописанное в требованиях регулятора...
0 |
  • Поделиться
  • Ссылка
30 Июня, 2014
Рабочий кабинет врача, при условии, что данный сотрудник подписывает медиинские документы ЭП, подпадает под требования режимного помещения (клюшки, решётки и т.д.)?
0 |
  • Поделиться
  • Ссылка
1 Июля, 2014
а у врачей принято защищать ПДн с помощью ЭП? Медучреждения так целостность ПДн защищают?
0 |
1 Июля, 2014
Что означает принято? Требуется как минимум подписывать медицинскую запись в электронной истории болезни квалифицированной электронной подписью. Как задача максимум - реализовать двухфакторную аутентификацию с использованием ЭП. И вот получается каждый рабочий кабинет режимное помещение. А Вы в больнице были? Больница сама по себе система массового обслуживания. Одно дело организовать режим на оборонном предприятии и другое в медицинской организации. Это равносильно общепиту..
0 |
  • Поделиться
  • Ссылка
2 Июля, 2014
> Требуется как минимум подписывать медицинскую запись в электронной истории болезни квалифицированной электронной подписью А где прописано такое требование? ФЗ об ЭП не требует, чтобы все пользовались только квалифицированной подписью, к которой ФСБ предъявляет свои требования (откуда и решетки). Я говорю о том, что защита ПДн - это одно, а проставление подписи врача на медицинских документах - другое, цели разные.
0 |
3 Июля, 2014
В данном случае ЭП должна быть использована как инструмент фиксации юридически значимого документа (медицинской записи). То есть неотрекаемость. Требование обозначено в приказе №364 Минздравсоцразвития (на быструю руку найти точные реквизиты не смогу). Кроме того региональные медицинские информационные системы требуется интегрировать с федеральными, а для этого опять таки должна применяться квалифицированная ЭП. Конечно, я не отрицаю того, что существуют два подхода к организации защиты: выполнять требования и снижать требования. Но нужно определиться.
0 |
  • Поделиться
  • Ссылка
3 Июля, 2014
В данном случае ЭП должна быть использована как инструмент фиксации юридически значимого документа (медицинской записи). То есть неотрекаемость. Требование обозначено в приказе №364 Минздравсоцразвития (на быструю руку найти точные реквизиты не смогу). Кроме того региональные медицинские информационные системы требуется интегрировать с федеральными, а для этого опять таки должна применяться квалифицированная ЭП. Конечно, я не отрицаю того, что существуют два подхода к организации защиты: выполнять требования и снижать требования до состояния когда их можно не выполнять. Но нужно определиться.
0 |
  • Поделиться
  • Ссылка
4 Июля, 2014
Наверное приказ Минздравсоцразвития России №364 от 28 апреля 2011 г. "ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ граждан в Системе ОБЕСПЕЧИВАЕТСЯ в соответствии с требованиями законодательства Российской Федерации ЗА СЧЕТ ведения перечня информационных ресурсов Системы и сведений об уровне их конфиденциальности, ведения единого каталога пользователей, их ролей и категорий, ИСПОЛЬЗОВАНИЯ ИНФРАСТРУКТУРЫ ОТКРЫТЫХ КЛЮЧЕЙ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ и шифрования данных, поддержки обмена юридически значимыми электронными документами, обезличивания персональных данных, получаемых из медицинских информационных систем для централизованной обработки и хранения и при их передаче по каналам связи, использования организационно-режимных мер управления доступом к Системе и обеспечения физического разделения информации и ресурсов Системы, требующих различных мер и средств защиты." Да, получается использование квалифицированной ЭП, и еще не забудьте про приказ ФАПСИ от 13 июня 2001 г. N 152 Потому что в проекте приказа ФСБ по защите персональных данных написано "Эксплуатация СКЗИ должна осуществляться в соответствии с требованиями, установленными в настоящем документе, а также в соответствии с иными нормативными правовыми актами, регулирующими отношения в соответствующей области". Но с другой стороны, в проекте приказа ФСБ решетки на окнах требуются для исключения "возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих права доступа в Помещения". Если мы считаем, что врач пациентов контролирует, это требование будет относиться только к местам хранения СКЗИ. Кроме того, решетки нужны для обеспечения первого уровня защищенности согласно Постановлению Правительства РФ от 01.11.2012 N 1119, а для остальных уровней нужны только замки и печати на дверях. А если посмотреть на условия необходимости обеспечения первого уровня защищенности, то возникает вопрос "действительно ли решетки на окнах не нужны?".
0 |
4 Июля, 2014
Но даже если слова "Эксплуатация СКЗИ должна осуществляться в соответствии с.......... иными нормативными правовыми актами............" вычеркнуть из проекта приказа, ФСБ всегда может вписать слова с тем же смыслом в правила пользования конкретным СКЗИ, в подходящем виде.
0 |
  • Поделиться
  • Ссылка
4 Июля, 2014
Да дело то, даже не в том, что решётки на окнах нужны. В приказе ФСБ написано или. То есть решётки не обязательно вешать. Я просто хотел уточнить мнение читателей сайта о том будет ли являться в принципе кабинет врача режимным помещением. И получается, что помещение режимное отсюда все вытекающие требования...
0 |
  • Поделиться
  • Ссылка
4 Июля, 2014
Да дело то, даже не в том, что решётки на окнах нужны. В приказе ФСБ написано или. То есть решётки не обязательно вешать. Я просто хотел уточнить мнение читателей сайта о том будет ли являться в принципе кабинет врача режимным помещением. И получается, что помещение режимное отсюда все вытекающие требования...
0 |
  • Поделиться
  • Ссылка
4 Июля, 2014
> И получается, что помещение режимное отсюда все вытекающие требования... Извините, я не понял, в терминах какого нормативного документа помещение режимное, и какие требования имеются в виду. Если не требования приказа ФАПСИ N 152.
0 |
7 Июля, 2014
Я имел ввиду приказ ФСБ об использовании криптосредств.
0 |
  • Поделиться
  • Ссылка
7 Июля, 2014
Если "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", то это не приказ ФСБ. Вы думаете, этот документ не будет отменен? Я и не подумал :/
0 |
  • Поделиться
  • Ссылка
8 Июля, 2014
Может ли кто-нибудь пояснить, каким образом "Типовые требования по организации и обеспечению функционирования..." утверждены руководством 8 Центра, если в соответствии с Правилами, утвержденными постановлением Правительства от 13 августа 1997 г. N 1009, структурные подразделения и территориальные органы федеральных органов исполнительной власти не вправе издавать нормативные правовые акты?
0 |
  • Поделиться
  • Ссылка