Обзор изменений законодательства о персональных данных от экспертов «ДиалогНауки»

«Белая книга» (white paper), формулировка позиции компании «ДиалогНаука»

Март 2010, Москва

Компания «ДиалогНаука», системный интегратор, консультант и дистрибьютор в области информационной безопасности, информирует о произошедших изменениях законодательства РФ о персональных данных.

В 2009-2010 гг. были внесены некоторые изменения в законодательство о персональных данных.

Федеральный закон № 266-ФЗ [1] внес изменения в ФЗ «О персональных данных» [2] по вопросам реализации международных договоров Российской Федерации о реадмиссии¹.

При необходимости обработки персональных (ПДн) данных в связи с реализацией международных договоров Российской Федерации о реадмиссии:

• согласие субъекта персональных данных не требуется;
• допускается обработка специальных категорий персональных данных;
• обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных;
• может осуществляться трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных.

Федеральный закон № 363-ФЗ [3] исключил обязанность оператора использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Тем не менее, необходимо отметить, что использование средств криптографической защиты регламентируется нормативными документами ФСБ РФ и определяется на основе модели нарушителя.

Таким образом, в случае использования каналов связи для передачи персональных данных за пределы контролируемой зоны и невозможности обеспечить защиту этой информации организационными мерами необходимо использовать криптографические средства защиты. При этом если информация передается в пределах контролируемой зоны, то в этом случае она может не защищаться криптографическими методами. Необходимо отметить, что все средства криптографической защиты информации должны иметь сертификат соответствия ФСБ на комплекс в целом, либо иметь заключение ФСБ о корректности встраивания криптографии.

Закон [3] так же продлил срок до которого информационные системы персональных данных (ИСПДн) должны быть приведены в соответствие с требованиями Федерального закона [2].

Теперь информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями Федерального закона [2] не позднее 1 января 2011 года. При этом необходимо отметить, что те информационные системы, которые вводятся в эксплуатацию после 1 января 2010 года, уже должны соответствовать требованиям по защите персональных данных.

16 марта 2010 г. вступил в силу Приказ ФСТЭК России [4], в соответствии с которым принято «Положения о методах и способах защиты информации в информационных системах персональных данных».

Утвержденное Положение определяет методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных операторами² или уполномоченными лицами³.

В Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.

В связи с изданием приказа ФСТЭК России [4], решением ФСТЭК России [5] с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных не применяются следующие методические документы ФСТЭК России:

• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

Таким образом, с 15 марта 2010 года методы и способы защиты информации в информационных системах персональных данных устанавливаются ФСТЭК России в следующих документах:

• «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн»;
• «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн»;
• «Положения о методах и способах защиты информации в информационных системах персональных данных».

Новое Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное Приказом ФСТЭК РФ № 58, вносит следующие ключевые изменения в требования по защите ПДн:

• отменяется обязательность аттестации ИСПДн операторов вне зависимости от классов информационных систем;
• отменяется требование по обязательному наличию сертификата ФСТЭК на отсутствие недекларированных возможностей для ИСПДн 2-го класса. Данное требование остается обязательным только для ИСПДн 1-го класса;
• отменяется обязательное требование по защите информации от утечки по техническим каналам. Теперь защита от данных видов угроз необходима только в том случае, если данная угроза является актуальной в соответствии с моделью угроз.

Необходимо отметить, что внесенные изменения не отменяют необходимость использования сертифицированных средств защиты информации, так как это требование содержится как в Приказе ФСТЭК РФ № 58, так и в Постановлении Правительства РФ № 781.

Несмотря на отсутствие требования по обязательной аттестации ИСПДн ЗАО «ДиалогНаука» рекомендует проводить данную процедуру для ИСПДн 1-го и 2-го класса, так как это позволяет получить документ, гарантирующий соответствие требованиям законодательства в области защиты ПДн. Это в свою очередь позволяет значительно упростить процедуры проверок со стороны регуляторов, а также переложить ответственность на организацию, выдавшую аттестат соответствия.

¹ «Реадмиссия» - передача запрашивающим государством и принятие запрашиваемым государством лиц (граждан запрашиваемого государства, граждан третьих государств или лиц без гражданства), чей въезд, пребывание или проживание в запрашивающем государстве признаны незаконными.
²Оператор - государственные, муниципальные органы, юридические или физические лица, организующие или осуществляющие обработку персональных данных, а также определяющие цели и содержание их обработки.
³Уполномоченное лицо - лицо, которому на основании договора оператор поручает обработку персональных данных.

Источники

[1] Федеральный закон от 25.11.2009 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» по вопросам реализации международных договоров Российской Федерации о реадмиссии»
[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
[3] Федеральный закон от 27.12.2009 № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных»
[4] Приказ ФСТЭК РФ от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»
[5] Решение ФСТЭК России от 05.03.2010 г.

ИНФОРМАЦИЯ О КОМПАНИИ «ДИАЛОГНАУКА»

С момента образования в 1992 г. «ДиалогНаука» является одной из ведущих российских компаний, специализирующихся в области информационной безопасности. Первыми и самыми известными отечественными продуктами, поставляемыми компанией, были антивирусы Aidstest, Doctor Web и ревизор ADinf.

Сегодня «ДиалогНаука» оказывает услуги в области системной интеграции, консалтинга и внедрения комплексных решений по защите информации. Компания занимает лидирующие позиции в сфере дистрибьюции программных продуктов для защиты от вирусов, спама, сетевых атак и других угроз информационной безопасности.

«ДиалогНаука» является поставщиком программных решений от ряда ведущих российских и зарубежных компаний рынка информационной безопасности – «Доктор Веб», «Информзащита», «Инфотекс», «КриптоПро», НПП «Информационные технологии в бизнесе», «С-Терра СиЭсПи», «Яндекс», Acronis, Agnitum, Aladdin, ArcSight, Cisco Systems, IBM, Microsoft, Oracle, Portwise, Positive Technologies, SmartLine, Sophos, Symantec, Trend Micro, Websense и других. Постоянно растущая партнерская сеть «ДиалогНауки» охватывает свыше 100 городов России и насчитывает более 400 компаний-партнеров.

«ДиалогНаука» является членом Ассоциации защиты информации (АЗИ), Ассоциации документальной электросвязи (АДЭ), Сообщества ABISS и Ассоциации предприятий компьютерных и информационных технологий (АП КИТ). Компания является сертифицированным партнером BSI Management Systems.

Система менеджмента качества компании «ДиалогНаука» сертифицирована на соответствие требованиям стандарта ISO 9001:2000.

Свою деятельность компания «ДиалогНаука» осуществляет на основании лицензий Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства обороны РФ.

Программами и услугами от «ДиалогНауки» пользуются тысячи корпоративных пользователей в России и других странах. В их числе крупные коммерческие компании и государственные структуры.

Дополнительную информацию о компании можно найти на сайте www.DialogNauka.ru

За дополнительной информацией обращайтесь:
Отдел маркетинга ЗАО «ДиалогНаука»
Тел.: +7(495) 980-67-76, Факс: +7(495) 980-67-75
URL: http://www.DialogNauka.ru, E-mail: marketing@DialogNauka.ru