Приказ 21 ФСТЭК (ссылка)

14 мая 2013 года 21й Приказ ФСТЭК был зарегистрирован в Минюсте. Найти оригинал текста было не очень просто, но вот она, наконец, рабочая ссылка!
Мой короткий анализ:
1. Приказ ФСТЭК № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных".
2. Криптография естественно не входит, т.к. ФСТЭК ею не занимается (спасибо, кэп :)).
3. Защиту персональных данных организация может организовать либо самостоятельно, либо нанять юр. лицо (или ИП) с лицензией на ТЗКИ.
4. В тексте есть ссылка на Постановление Правительства 1119 (здесь я о нем писала). Это несомненный плюс, документы и должны образовывать единую систему.
5. Необходимо самостоятельно или же с привлечением организации проверять эффективность принимаемых мер не реже, чем раз в 3 года.
6. Определена процедура подбора мер защиты, описаны основные категории таких мер.
7. По аналогии с требованиями к классам ИСПДн в новом документам указаны меры для каждого уровня системы.

Более подробный анализ будет приведен позже. Пока же меня мучает один вопрос: привлекать организацию можно только при условии наличия у нее лицензии, а вот про то, что организация должна получать лицензию на защиту себя не сказано... Т.е. один и тот же вид деятельности можно вести как без разрешительного документа (самостоятельно), так и при обязательном его наличии (оказание услуг)? Не сделает ли это жизнь интегратора еще тяжелее - зачем платить за то, что можно сделать бесплатно?... С другой стороны, скорее всего наличие лицензии у оператора подразумевается, т.к. технической защитой можно заниматься исключительно при ее наличии... Буду рада услышать Ваше мнение!

Утрата информации

Здравствуйте дорогие читатели! Часто неспециалисты путают понятия "утраты" и "утечки информации" (но мы-то с Вами эту разницу хорошо понимаем). Хотя защита от потери данных - в основном дело ИТ-подразделений, безопасникам тоже нужно разбираться в основных тенденциях. Ибо не только конфиденциальность нужно соблюдать, но и обеспечивать целостность и доступность. Важны как резервное копирование и восстановление данных, так и организационные меры. А какие - узнаете, прочитав мою новую статью :в майском номере "Директора по безопасности" :) К сожалению, материала нет в открытом доступе и ознакомиться с ним можно лишь, подписавшись на журнал. 

Несмотря на то, что это уже 31-я публикация, каждый раз испытываю определенное волнение перед выходом статьи в свет и очень надеюсь, что мои советы будут полезными. Приятного Вам чтения!

Границы применимости закона "О персональных данных"

Сколько закон о персональных данных не читай, все равно не поймешь:) Это как раз тот случай, когда два специалиста - три мнения. Споры возникают даже из-за сферы применения закона. Попробуем с этим разобраться.

В самом законе сфера применения определяется, как отношения, связанные с обработкой персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Первое условие - обработка с использованием средств автоматизации - понятно без объяснений. Последнее определение автоматизированной обработки достаточно однозначно:

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Согласно Госту Р 50739-95:

Под СВТ в данном стандарте понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Т.е. вся обработка персональных данных на компьютере (за исключением исключений, отдельно указанных в законе) попадает под действие ФЗ 152. Напоминаю, что под персональными данными понимается любая информация, прямо или косвенно относящаяся к физическому лицу. 

Комментарий. Исключения в общем виде следующие (статья 2 ФЗ "О персональных данных" в вольном изложении):

Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1)обработке физическими лицами для личных нужд;

2) обработке архивных данных;

3) обработке государственной тайны;

4) предоставлении информации о деятельности судов.

Я бы хотела порекомендовать Вам ознакомиться с постатейным комментарием к ФЗ, написанным Петровым М.И. - ссылка. Очень хороший материал, не смотря на то, что написан еще в 2007 году, но многие правовые проблемы остались неизменными.

Дальше все не так просто! Возникает две проблемы:

1. Как определить, соответствует ли характер обработки действиям с использованием средств автоматизации? Это довольно философский вопрос. Понятно, что картотеки - они упомянуты в тексте статьи - попадают под действие закона. А можно ли сказать то же самое о папках с документами, например, доверенностями? Поиск персональных данных в них достаточно затруднителен, но все же возможен. 100% исключением из закона будет, видимо, передача данных без фиксации на бумаге или каком-либо другом материальном носителе. Отсюда возникает вопрос № 2.

2. Обработка не попадающая под действие ФЗ 152 никак не регулируется? Что будет с тем, кто станет разглашать персональные данные, вслух называя ФИО, должности и номера паспортов в публичном месте?:) Ответ: см. статью 24 Конституции:

Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Комментарий к этой статье можно прочесть здесь - ссылка.

Но вот вроде бы разобрались со сферой применения закона... Или не разобрались...:)