вторник, 20 мая 2014 г.

Информационное сообщение ФСТЭК России по 17 и 21 приказам (часть 1)

Добрый вечер, дорогие читатели! Хочу поделиться с вами ссылкой на информационное сообщение ФСТЭК по поводу 21 и 17 приказов - в данном документе содержится полезная информация для операторов персональных данных.
Рассмотрим по порядку вопросы и ответы, так как именно в форме ответов на вопросы операторов построено информационное сообщение. Для удобства и вопросы и ответы сокращены (без потери смысловой нагрузки).
1 вопрос. Нужна ли повторная аттестация систем, прошедших ранее оценку соответствия?
Информационные системы, аттестованные (прошедшие оценку эффективности) по требованиям защиты информации до вступления в действие Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, повторной аттестации (оценке эффективности) в связи с изданием указанных нормативных правовых актов не подлежат.
2 вопрос. Какие нормативные документы регулируют состав и содержание мер защиты персональных данных для государственных информационных систем? 
Для обеспечения безопасности персональных данных при их обработке в государственных информационных системах в дополнение к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, необходимо руководствоваться требованиями (в том числе в части определения уровня защищенности персональных данных), установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119. 
3 вопрос. В какой форме должна проводиться оценка эффективности мер, принимаемых для обеспечения безопасности персональных данных?
Решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности персональных данных. В части государственных информационных систем, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

вторник, 13 мая 2014 г.

Законодательство в области защиты персональных данных

Добрый день, дорогие читатели! В связи с тем, что законодательство в области персональных данных довольно-таки часто меняется, решила составить шпаргалку актуальных нормативно-правовых актов. Естественно, с полнотой списка можно спорить, я выделила для себя в качестве основных следующие документы (в скобках приведены мои посты в тему):

1. Федеральный закон от 19 декабря 2005 г. №160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" - документ с которого все собственно говоря и началось, рекомендую к прочтению начинающим защитникам персональных данных для общего развития и формирования "комплексного подхода". 

2. Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" - без этого закона мы с вами никуда, почитать нужно, но если очень торопитесь, то документ не первой важности.

3. Федеральный закон от 7 мая 2013 г. №99-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона "О ратификации Конвенции Совета Европы О защите физических лиц при автоматизированной обработке персональных данных" и федерального закона "О персональных данных" - здесь про то, на что Конвенция повлияла, интересное чтение для общего развития.

4. Указ Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера" - очень важный и очень короткий документ. Вы будете ссылаться на него при проведении служебных проверок и оформлении писем в надзорные органы.

5. Указ Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" - для госслужащих обязательно.

6. Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" - основа основ, с каждым прочтением открываю для себя новые смыслы, хоть и занимаюсь защитой персональных данных 5 лет. Что радует, только вроде бы начинаешь понимать что-то, как вносятся изменения и можно снова углубиться в чтение и приятные раздумья :)

7. Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" - очень-очень важный документ, про который часто забывают, но Роскомнадзор в своих проверках на него часто ссылается.

8. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/54-144 - трудный для чтения и понимания документ, пока действующий, но статус его несколько непонятен.

9. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные руководством 8 Центра ФСБ России 21.02.2008 № 149/6/6-622 - см. пункт 8.

10. Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" - все меры защиты здесь (ссылка).

11. Приказ "Об утверждении требований и методов по обезличиванию персональных данных" от 05.09.2013 года N 996 - очень интересный документ, но чур не читать его без пункта 12 (ссылка).

12. "Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" - ключ к пониманию пункта 11.

13. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" - про классификацию систем все найдете здесь (ссылка).

14. Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" - важно прочитать, чтобы знать, насколько нежелательно хранить биометрические данные в электронном виде.

15. Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" - для госслужащих (ссылка).

16. Приказ Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. N 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства российской федерации в области персональных данных» - о том, как вас будут проверять.

17. Приказ Роскомнадзора от 19 августа 2011 г. №706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных" - как заполнить самый первый документ - уведомление об обработке персональных данных, не читать без пункта 18.

18. Приказ Роскомнадзора от 14 марта 2014 г. № 37 «О внесении изменений в Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 19 августа 2011 г. № 706» - важное дополнение пункта 17 (ссылка).

Добавлено по рекомендации Андрея Прозорова (блог):
19. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" - для госслужащих.

20. Методический документ ФСТЭК России от 11 февраля 2014 "Меры защиты информации в государственных информационных системах" - для госслужащих (ссылка на сайте ФСТЭК).

21. Разъяснения Роскомнадзора по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве  - интересное чтение (ссылка на сайте Роскомнадзора). 

22. Разъяснения Роскомнадзора по вопросам отнесения фото-, видеоизображений, дактилоскопических данных к биометрическим персональным данным  - решение спорного вопроса (сылка на сайте Роскомнадзора). 


Вот и весь список, напишите мне, если забыла что-то важное, обязательно поправлю. 
Если кому-то интересно, то можно посмотреть насколько изменилась ситуация в законодательстве за 2 года - ссылка на мою старую презентацию по защите персональных данных здесь.


воскресенье, 11 мая 2014 г.

Приказ Роскомнадзора от 14 марта 2014 г. № 37 «О внесении изменений в Рекомендации по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных...»

Здравствуйте, дорогие читатели! Сегодня один из тех случаев, когда название поста по размеру немногим отличается от его содержимого. Новость короткая, но важная.

Как мы помним, классы ИСПДн давно уже канули в лету (об уровнях защищенности и Постановлении Правительства № 1119 можно почитать здесь), а форма уведомления об обработке персональных данных оставалась прежней. Так вот, ситуация поменялась, как нам и обещали, происходит гармонизация законодательства и противоречий становится все меньше. Причину для радости операторов Вы можете наблюдать здесь. Приказ коротенький и главное в нем - исключение подпункта в пункта 10 в «Рекомендациях по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».

Напомню Вам содержимое подпункта в пункта 10 (если кто забыл):
10. В поле «описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», указываются:
...
в) класс информационной системы персональных данных Оператора (пункт 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;


Про уровни пока нет ни слова...

суббота, 10 мая 2014 г.

Маска, я тебя знаю (conclusion) - Приказ Роскомнадзора от 5 сентября 2013 № 996


Написать заключение к циклу постов об обезличиваниии невероятно трудно, темы хватит на целую книгу, поэтому вместо выводов я хотела бы указать один интересный момент.

В предыдущих постах о требованиях и методах обезличивания мы с вами подробно изучили Приказ Роскомнадзора и в конце (ссылка) пришли к выводу, что единственным методом, для которого выполняются все требования к свойствам данных и методов (извините за тавтологию), является метод перемешивания.
В пункте 9 Приказа Роскомнадзора в свою очередь указано:

Выполнение приведенных в пунктах 7 и 8 Требований и методов требований обязательно для обезличенных данных и применяемых методов обезличивания.
Возникает резонный вопрос - если из четырех предлагаемых нам методов соответствует всем требованиям только один, зачем же рассмотрены остальные, неужели в качестве неудачного примера?
Ответ не так очевиден, как может показаться и содержится он в "Методических рекомендациях по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (утв. Роскомнадзором 13.12.2013). Сами рекомендации можно посмотреть на сайте Консультанта вот здесь: ссылка, с сайта Роскомнадзора они почему-то исчезли (либо размещены в неочевидном разделе, старая ссылка не работает). 

Так вот в методических рекомендациях мы можем увидеть следующее:
Следует также отметить, что существуют виды (задачи) обработки персональных данных, когда наличие всех требуемых свойств не обязательно, например, при решении статистических задач. Таким образом, в каждом конкретном случае необходимо применять метод, который гарантирует свойства, необходимые для решения конкретных задач обработки стоящих перед Оператором.
...
Метод введения идентификаторов целесообразно применять при небольшом количестве атрибутов персональных данных и небольшом объеме массива персональных данных, в связи с тем, что объем справочников будет напрямую зависеть от этих параметров.
...

Метод изменения состава и семантики целесообразно применять в случае, когда возможно изменение состава и семантики, так, что задачи обработки персональных данных не требуют деобезличивания, поскольку метод не обладает свойством обратимости при любых изменениях состава и семантики данных. В противном случае необходимо использовать дополнительную информацию для проведения деобезличивания.
...

Метод декомпозиции целесообразно применять при большом количестве атрибутов персональных данных, но при достаточно редком внесении изменений в состав данных и значения атрибутов.
...
Метод перемешивания эффективен при необходимости сложной обработки персональных данных, частом внесении изменений в значения атрибутов.

Так что мы можем сделать вывод, что требования пункта 9 об обязательном исполнении требований пунктов 7 и 8 не такие уж обязательные (лишь в определенных случаях). Методические рекомендации содержат множество другой полезной информации, о том, как нужно "правильно читать" Приказ Роскомнадзора и им можно посвятить отдельный цикл статей. Но это уже совсем другая история...



пятница, 9 мая 2014 г.

Новые подходы к реализации функций Уполномоченного органа по защите прав субъектов персональных данных

С праздником дорогие читатели!
Вашему вниманию ссылка на презентацию заместителя руководителя Роскомнадзора о новых подходах к реализации функции по защите прав субъектов персональных данных: ссылка.
Единственное, что зацепило - формулировка "научно-практический комментарий Роскомнадзора закона "О персональных данных". 
Гугл, кстати говоря, сразу выдал, что Роскомнадзор уже работает над выпуском этого комментария, а также над внесением изменений в ФЗ-394 и в КоАП. Ссылка.
Далее в том же источнике указано, что было подписано "Соглашение о сотрудничестве органов государственной власти при реализации своих полномочий в сфере защиты прав субъектов персональных данных". Стороны, его подписавшие (а пока это Центральная избирательная комиссия и Федеральная служба судебных приставов, впоследствии к ним присоединятся Министерство внутренних дел, Минобрнауки и Роскомнадзор). Что ж, будем ждать, что дальше.