Обзор изменений законодательства о персональных данных от экспертов «ДиалогНауки»

22 марта 2010
«Белая книга» (white paper), формулировка позиции компании «ДиалогНаука»

Март 2010, Москва

Компания «ДиалогНаука», системный интегратор, консультант и дистрибьютор в области информационной безопасности, информирует о произошедших изменениях законодательства РФ о персональных данных.

В 2009-2010 гг. были внесены некоторые изменения в законодательство о персональных данных.

Федеральный закон № 266-ФЗ [1] внес изменения в ФЗ «О персональных данных» [2] по вопросам реализации международных договоров Российской Федерации о реадмиссии1.

При необходимости обработки персональных (ПДн) данных в связи с реализацией международных договоров Российской Федерации о реадмиссии:

    • согласие субъекта персональных данных не требуется;
    • допускается обработка специальных категорий персональных данных;
    • обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных;
    • может осуществляться трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных.

Федеральный закон № 363-ФЗ [3] исключил обязанность оператора использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Тем не менее, необходимо отметить, что использование средств криптографической защиты регламентируется нормативными документами ФСБ РФ и определяется на основе модели нарушителя.

Таким образом, в случае использования каналов связи для передачи персональных данных за пределы контролируемой зоны и невозможности обеспечить защиту этой информации организационными мерами необходимо использовать криптографические средства защиты. При этом если информация передается в пределах контролируемой зоны, то в этом случае она может не защищаться криптографическими методами. Необходимо отметить, что все средства криптографической защиты информации должны иметь сертификат соответствия ФСБ на комплекс в целом, либо иметь заключение ФСБ о корректности встраивания криптографии.

Закон [3] так же продлил срок до которого информационные системы персональных данных (ИСПДн) должны быть приведены в соответствие с требованиями Федерального закона [2].

Теперь информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями Федерального закона [2] не позднее 1 января 2011 года. При этом необходимо отметить, что те информационные системы, которые вводятся в эксплуатацию после 1 января 2010 года, уже должны соответствовать требованиям по защите персональных данных.

16 марта 2010 г. вступил в силу Приказ ФСТЭК России [4], в соответствии с которым принято «Положения о методах и способах защиты информации в информационных системах персональных данных».

Утвержденное Положение определяет методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных операторами2 или уполномоченными лицами3.

В Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.

В связи с изданием приказа ФСТЭК России [4], решением ФСТЭК России [5] с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных не применяются следующие методические документы ФСТЭК России:

    • Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
    • Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

Таким образом, с 15 марта 2010 года методы и способы защиты информации в информационных системах персональных данных устанавливаются ФСТЭК России в следующих документах:

    • «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн»;
    • «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн»;
    • «Положения о методах и способах защиты информации в информационных системах персональных данных».

Новое Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное Приказом ФСТЭК РФ № 58, вносит следующие ключевые изменения в требования по защите ПДн:

    • отменяется обязательность аттестации ИСПДн операторов вне зависимости от классов информационных систем;
    • отменяется требование по обязательному наличию сертификата ФСТЭК на отсутствие недекларированных возможностей для ИСПДн 2-го класса. Данное требование остается обязательным только для ИСПДн 1-го класса;
    • отменяется обязательное требование по защите информации от утечки по техническим каналам. Теперь защита от данных видов угроз необходима только в том случае, если данная угроза является актуальной в соответствии с моделью угроз.

Необходимо отметить, что внесенные изменения не отменяют необходимость использования сертифицированных средств защиты информации, так как это требование содержится как в Приказе ФСТЭК РФ № 58, так и в Постановлении Правительства РФ № 781.

Несмотря на отсутствие требования по обязательной аттестации ИСПДн ЗАО «ДиалогНаука» рекомендует проводить данную процедуру для ИСПДн 1-го и 2-го класса, так как это позволяет получить документ, гарантирующий соответствие требованиям законодательства в области защиты ПДн. Это в свою очередь позволяет значительно упростить процедуры проверок со стороны регуляторов, а также переложить ответственность на организацию, выдавшую аттестат соответствия.


    1 «Реадмиссия» - передача запрашивающим государством и принятие запрашиваемым государством лиц (граждан запрашиваемого государства, граждан третьих государств или лиц без гражданства), чей въезд, пребывание или проживание в запрашивающем государстве признаны незаконными.
    2Оператор - государственные, муниципальные органы, юридические или физические лица, организующие или осуществляющие обработку персональных данных, а также определяющие цели и содержание их обработки.
    3Уполномоченное лицо - лицо, которому на основании договора оператор поручает обработку персональных данных.

Источники
ИНФОРМАЦИЯ О КОМПАНИИ «ДИАЛОГНАУКА»

С момента образования в 1992 г. «ДиалогНаука» является одной из ведущих российских компаний, специализирующихся в области информационной безопасности. Первыми и самыми известными отечественными продуктами, поставляемыми компанией, были антивирусы Aidstest, Doctor Web и ревизор ADinf.

Сегодня «ДиалогНаука» оказывает услуги в области системной интеграции, консалтинга и внедрения комплексных решений по защите информации. Компания занимает лидирующие позиции в сфере дистрибьюции программных продуктов для защиты от вирусов, спама, сетевых атак и других угроз информационной безопасности.

«ДиалогНаука» является поставщиком программных решений от ряда ведущих российских и зарубежных компаний рынка информационной безопасности – «Доктор Веб», «Информзащита», «Инфотекс», «КриптоПро», НПП «Информационные технологии в бизнесе», «С-Терра СиЭсПи», «Яндекс», Acronis, Agnitum, Aladdin, ArcSight, Cisco Systems, IBM, Microsoft, Oracle, Portwise, Positive Technologies, SmartLine, Sophos, Symantec, Trend Micro, Websense и других. Постоянно растущая партнерская сеть «ДиалогНауки» охватывает свыше 100 городов России и насчитывает более 400 компаний-партнеров.

«ДиалогНаука» является членом Ассоциации защиты информации (АЗИ), Ассоциации документальной электросвязи (АДЭ), Сообщества ABISS и Ассоциации предприятий компьютерных и информационных технологий (АП КИТ). Компания является сертифицированным партнером BSI Management Systems.

Система менеджмента качества компании «ДиалогНаука» сертифицирована на соответствие требованиям стандарта ISO 9001:2000.

Свою деятельность компания «ДиалогНаука» осуществляет на основании лицензий Федеральной службы по техническому и экспортному контролю (ФСТЭК), Федеральной службы безопасности (ФСБ) и Министерства обороны РФ.

Программами и услугами от «ДиалогНауки» пользуются тысячи корпоративных пользователей в России и других странах. В их числе крупные коммерческие компании и государственные структуры.

Дополнительную информацию о компании можно найти на сайте www.DialogNauka.ru



За дополнительной информацией обращайтесь:
Отдел маркетинга ЗАО «ДиалогНаука»
Тел.: +7(495) 980-67-76, Факс: +7(495) 980-67-75
URL: http://www.DialogNauka.ru, E-mail: marketing@DialogNauka.ru
10
;