воскресенье, 28 апреля 2013 г.

Приказ 21 фстэк и другие интересности по ПДн

Здравствуйте, дорогие читатели! В последнее время я совсем обленилась и забросила блог, к тому же перестала следить за темой защиты персональных данных. Мысль о том, что я совершенно "не в теме" сводила меня с ума и даже заставила сесть за изучение новостей в мире  ПДн в воскресенье в 7 утра :) Что же я обнаружила? Начнем с самого неинтересного 
1. Для тех, кто живет в Красноярском крае В соответствии с Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 7 декабря 2012 года № 1283 Управление Роскомнадзора по Красноярскому краю переименовано в Енисейское управление Роскомнадзора. Не забываем учитывать сей важный момент в официальных письмах.
2. Несмотря на введение Постановления 1119го, форма уведомления нисколько не поменялась и от нас по-прежнему требуют указать класс системы (с 1го по 4й). К тому же на форумах активно появляются сообщения, что с начала года Роскомнадзор активно занимается рассылкой грозных писем операторам о непредоставлении новых сведений... В Роскомнадзоре по Уральскому ФО поработали над этим вопросом - ссылка, мы видим, что требуется предоставить модель угроз и систему защиты в соответствии с ПП 1119, при этом новые НПА еще не вышли:
 Модель угроз безопасности персональных данных при их обработке определена, система защиты разработана. «(В соответствии с ПП РФ от 01.11.2012г № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и ПП РФ от 15.09.2008г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»)». (п. 11 введен Федеральным законом от 25.07.2011 N 261-ФЗ).
3. Переходим к десерту! 21 Приказ ФСТЭК, о нем много говорится в Интернете, например, в блоге Лукацкого: ссылка. Честно признаюсь, что не смотрю чужие обзоры на нормативные документы, пока не ознакомлюсь с оригиналом, поэтому начала активно искать данный приказ или его проект сначала на сайте ФСТЭК, затем в Интернете. Поиски мои поначалу приводили в тупик. Найти проект Приказа "Об утверждении состава и содержания организационных и технических мер по обеспечению персональных данных при их обработке в информационных системах персональных данных" все таки удалось - ссылка. Однако этот проект не имеет номера, поэтому до конца уверенной, что это именно 21 Приказ я быть не могу:) Уважаемые коллеги, если Вам все же удалось найти оригинал и узнать его судьбу (в Российской газете 21 приказ не опубликован...) поделитесь, пожалуйста, с нами этой ценной информацией! Жду Ваших комментариев! 

4 комментария:

  1. Ксения, добрый день. На данный момент, насколько я знаю, приказ 21 проходит согласование в Минюсте (с большой задержкой с начала февраля). Тот документ, на который Вы дали ссылку, это 1я его версия. В Минюст ушел СИЛЬНО измененный вариант. Ориентируйтесь пока на мой обзор и обзор Лукацкого, мы входили в экспертный совет ФСТЭК и помогали документ править.
    http://80na20.blogspot.ru/2013/03/soiso-1119.html

    ОтветитьУдалить
    Ответы
    1. Спасибо! Интересно, что с сайта фстэк вообще все это убрано, в частности даже первую версию можно найти было только в поисковике. Изучу Ваш обзор обязательно!

      Удалить
  2. Андрей, может это был фальстарт и отмена забега? :)
    как писал Ригель

    ОтветитьУдалить
    Ответы
    1. Может быть документ хотят утвердить ко дню рождения ФЗ "О персональных данных", как своеобразный подарок операторам :)

      Удалить