понедельник, 20 мая 2013 г.

Приказ 21 ФСТЭК (ссылка)

14 мая 2013 года 21й Приказ ФСТЭК был зарегистрирован в Минюсте. Найти оригинал текста было не очень просто, но вот она, наконец, рабочая ссылка!
Мой короткий анализ:
1. Приказ ФСТЭК № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных".
2. Криптография естественно не входит, т.к. ФСТЭК ею не занимается (спасибо, кэп :)).
3. Защиту персональных данных организация может организовать либо самостоятельно, либо нанять юр. лицо (или ИП) с лицензией на ТЗКИ.
4. В тексте есть ссылка на Постановление Правительства 1119 (здесь я о нем писала). Это несомненный плюс, документы и должны образовывать единую систему.
5. Необходимо самостоятельно или же с привлечением организации проверять эффективность принимаемых мер не реже, чем раз в 3 года.
6. Определена процедура подбора мер защиты, описаны основные категории таких мер.
7. По аналогии с требованиями к классам ИСПДн в новом документам указаны меры для каждого уровня системы.

Более подробный анализ будет приведен позже. Пока же меня мучает один вопрос: привлекать организацию можно только при условии наличия у нее лицензии, а вот про то, что организация должна получать лицензию на защиту себя не сказано... Т.е. один и тот же вид деятельности можно вести как без разрешительного документа (самостоятельно), так и при обязательном его наличии (оказание услуг)? Не сделает ли это жизнь интегратора еще тяжелее - зачем платить за то, что можно сделать бесплатно?... С другой стороны, скорее всего наличие лицензии у оператора подразумевается, т.к. технической защитой можно заниматься исключительно при ее наличии... Буду рада услышать Ваше мнение!

2 комментария:

  1. Ксения, добрый день.

    На основании чего Вы решили, что лицензия на ТЗКИ должна быть у оператора?
    Общая идеалогия такова, чт оесли оказываются услуги по ТЗКИ, то надо лицензию, если для себя, то нет.

    ОтветитьУдалить
  2. Здравствуйте, Андрей, спасибо за комментарий! Моя логика была такая: персональные данные не являются собственностью организации (в силу того, что они собственность субъектов), значит техническая защита для собственных нужд - не наш случай. Остается оказание услуг по технической защите информации (по сути мы оказываем услуги субъектам), а такая деятельность в России подлежит лицензированию. То, что во ФСТЭКовском документе не было отдельно упомянуто лицензирование для оператора, не гарантия того, что наличие лицензии не подразумевалось. Хотя тема конечно спорная и я обеими руками за то, что Вы правы и лицензия не нужна!:)

    ОтветитьУдалить