вторник, 20 мая 2014 г.

Информационное сообщение ФСТЭК России по 17 и 21 приказам (часть 1)

Добрый вечер, дорогие читатели! Хочу поделиться с вами ссылкой на информационное сообщение ФСТЭК по поводу 21 и 17 приказов - в данном документе содержится полезная информация для операторов персональных данных.
Рассмотрим по порядку вопросы и ответы, так как именно в форме ответов на вопросы операторов построено информационное сообщение. Для удобства и вопросы и ответы сокращены (без потери смысловой нагрузки).
1 вопрос. Нужна ли повторная аттестация систем, прошедших ранее оценку соответствия?
Информационные системы, аттестованные (прошедшие оценку эффективности) по требованиям защиты информации до вступления в действие Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, повторной аттестации (оценке эффективности) в связи с изданием указанных нормативных правовых актов не подлежат.
2 вопрос. Какие нормативные документы регулируют состав и содержание мер защиты персональных данных для государственных информационных систем? 
Для обеспечения безопасности персональных данных при их обработке в государственных информационных системах в дополнение к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, необходимо руководствоваться требованиями (в том числе в части определения уровня защищенности персональных данных), установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119. 
3 вопрос. В какой форме должна проводиться оценка эффективности мер, принимаемых для обеспечения безопасности персональных данных?
Решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных. В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».