Предложения по совершенствованию SOISO

Предложения по совершенствованию SOISO
В соответствие с ранее намеченным мной планом , оформил и отправил во ФСТЭК РФ свою скромную лепту по совершенствованию " Состава и содержания... ". Текст - под "катом".

1. Предложение по совершенствованию п. 3 Проекта.

В соответствии с назначением Проекта, указанного в ч. 4 ст. 19 152-ФЗ, помимо основных угроз, определяемых в соответствие с ч. 5 ст. 19 152-ФЗ нормативными правовыми актами федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, Банка России, органов государственных внебюджетных фондов, иных государственных органов в пределах своих полномочий, рассматриваемый Проект должен содержать меры, предназначенные для нейтрализации дополнительных угроз, в соответствие с ч. 6 ст. 19 152-ФЗ определяемых решениями ассоциаций, союзов и иных объединений операторов, а также угроз, определенных п. 6 Постановления Правительства РФ № 1119 от 01.11.2012 г.

Учитывая, что о таких угрозах, в частности, идет речь в п. 13 проекта, предлагается изложить последний абзац п. 3 Проекта в следующей редакции: "Выбранные и реализованные в системе защиты персональных данных организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах должны обеспечивать нейтрализацию актуальных угроз безопасности персональных данных, определенных в соответствии с частью 5, частью 6 статьи 19 Федерального закона "О персональных данных» и пунктом 6 постановления правительства РФ "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

2. Предложение по совершенствованию п. 5 Проекта.

Пунктом 3 части 2 ст. 19 152-ФЗ установлено, что средства защиты информации проходят оценку соответствия «в установленном порядке». Этот порядок устанавливает Федеральный Закон №184-ФЗ «О техническом регулировании», в котором сказано:

Ст. 2: Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту.
Ст. 7 п. 3: Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.

Ст. 20. Формы подтверждения соответствия:
1. Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.
2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
3. Обязательное подтверждение соответствия осуществляется в формах: принятия декларации о соответствии (далее - декларирование соответствия); обязательной сертификации.
Таким образом, формулировка п. 5 Проекта, как ВЕДОМСТВЕННОГО НОРМАТИВНОГО АКТА, НЕПРАВОМОЧНО СУЖАЕТ ЗАКОНОДАТЕЛЬНУЮ НОРМУ до единственно возможной формы оценки соответствия - обязательной сертификации, вводит не предусмотренные федеральными законами ограничения деятельности операторов и возлагает на операторов не предусмотренные федеральными законами обязанности по применению только одной формы оценки соответствия, что является ПРЯМЫМ НАРУШЕНИЕМ Ч. 2 СТ. 4 152-ФЗ.

Отсылка на постановление Правительства РФ № 330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)" как на документ, устанавливающий форму оценки соответствия применительно к персональным данным, также неправомочна, поскольку данный нормативный акт 1) в отличие от 184-ФЗ, не является федеральным законом 2) официально НЕ опубликован – и потому, в соответствие с ч. 2 ст. 4 152-ФЗ, НЕ МОЖЕТ участвовать в нормотворческой деятельности в области персональных данных.

Кроме того, технические регламенты на продукцию, используемую в целях защиты информации, отсутствуют, а сама такая продукция не включена в перечень продукции, подлежащей обязательной сертификации, установленным постановлением правительства РФ № 982 от 01.12.09, что также не позволяет применять к ней требования обязательной сертификации.

В настоящее время в Российской Федерации отсутствует система обязательной сертификации средств защиты информации на соответствие требованиям по безопасности информации. Имеющаяся система сертификации ФСТЭК РФ является ДОБРОВОЛЬНОЙ и зарегистрирована Федеральным агентством по техническому регулированию и метрологии в реестре добро-вольных систем сертификации за номером РОСС RU.0001.01БИ00.

Таким образом, указанное требование а) неправомочно и б) невыполнимо. Руководствуясь изложенным выше, считаю необходимым привести формулировку п. 5 Проекта в соответствие с нормой п. 3 ч. 2 152-ФЗ, изложив его в следующей редакции: «Для обеспечения безопасности персональных данных при их обработке в информационных системах могут применяться средства защиты информации, прошедшие оценку соответствия в порядке, установленном законодательством Российской Федерации».

3. Предложение по совершенствованию п. 9 Проекта.

В соответствие с ч. 3 ст. 19 152-ФЗ, требования и соответствующие организационные и технические меры, состав и содержание которых устанавливает настоящий Проект, должны определяться не только актуальными угрозами безопасности ПДн, но и с учетом объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, а также возможного вреда субъекту персональных данных. В соответствие с п. 5 ч. 1 ст. 18.1, Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, исходя из оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, и соотношения указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных (в том числе) рассматриваемым Проектом. Аналогичная норма содержится в п. 7 постановлении правительства РФ № 1119: «Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных» и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных"».

Таким образом, базовые меры должны выбираться исходя из состава и содержания, указанного в Проекте, а его адаптация учитывать оценку вреда и его соотнесение с выбранным набором мер.

В этой связи, предлагается изложить формулировку 4 абзаца п. 9 в следующей редакции: «адаптацию выбранного базового набора мер по обеспечению безопасности персональных данных применительно к структурно-функциональным характеристикам информационной системы, реализуемым информационным технологиям, особенностям функционирования информационной системы, а также с учетом целей защиты персональных данных (конфиденциальности, целостности, доступности) а также исходя из оценки вреда, который может быть причинен субъектам персональных данных в случае не достижения целей защиты и соотношения вреда и выбранных мер по обеспечению безопасности персональных данных».

4. Предложение по совершенствованию п. 12 Проекта.

Учитывая сказанное в отношение п. 5, считаю необходимым изменить формулировку п. 12 Проекта следующим образом: "При использовании средств защиты информации, прошедших сертификацию ФСТЭК РФ на соответствие требованиям безопасности информации (далее по тексту, по пунктам)".

Кроме того, в тексте пункта необходимо сделать ссылку на руководящий документ, устанавливающий соответствующие классы защищенности.
законодательство персональные данные фстэк
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!