В соответствии с назначением Проекта, указанного в ч. 4 ст. 19 152-ФЗ, помимо основных угроз, определяемых в соответствие с ч. 5 ст. 19 152-ФЗ нормативными правовыми актами федеральных органов исполнительной власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, Банка России, органов государственных внебюджетных фондов, иных государственных органов в пределах своих полномочий, рассматриваемый Проект должен содержать меры, предназначенные для нейтрализации дополнительных угроз, в соответствие с ч. 6 ст. 19 152-ФЗ определяемых решениями ассоциаций, союзов и иных объединений операторов, а также угроз, определенных п. 6 Постановления Правительства РФ № 1119 от 01.11.2012 г.
Учитывая, что о таких угрозах, в частности, идет речь в п. 13 проекта, предлагается изложить последний абзац п. 3 Проекта в следующей редакции: "Выбранные и реализованные в системе защиты персональных данных организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах должны обеспечивать нейтрализацию актуальных угроз безопасности персональных данных, определенных в соответствии с частью 5, частью 6 статьи 19 Федерального закона "О персональных данных» и пунктом 6 постановления правительства РФ "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
2. Предложение по совершенствованию п. 5 Проекта.
Пунктом 3 части 2 ст. 19 152-ФЗ установлено, что средства защиты информации проходят оценку соответствия «в установленном порядке». Этот порядок устанавливает Федеральный Закон №184-ФЗ «О техническом регулировании», в котором сказано:
Ст. 2: Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту.
Ст. 7 п. 3: Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.
Ст. 20. Формы подтверждения соответствия:
1. Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.
2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
3. Обязательное подтверждение соответствия осуществляется в формах: принятия декларации о соответствии (далее - декларирование соответствия); обязательной сертификации.
Таким образом, формулировка п. 5 Проекта, как ВЕДОМСТВЕННОГО НОРМАТИВНОГО АКТА, НЕПРАВОМОЧНО СУЖАЕТ ЗАКОНОДАТЕЛЬНУЮ НОРМУ до единственно возможной формы оценки соответствия - обязательной сертификации, вводит не предусмотренные федеральными законами ограничения деятельности операторов и возлагает на операторов не предусмотренные федеральными законами обязанности по применению только одной формы оценки соответствия, что является ПРЯМЫМ НАРУШЕНИЕМ Ч. 2 СТ. 4 152-ФЗ.
Отсылка на постановление Правительства РФ № 330 "Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)" как на документ, устанавливающий форму оценки соответствия применительно к персональным данным, также неправомочна, поскольку данный нормативный акт 1) в отличие от 184-ФЗ, не является федеральным законом 2) официально НЕ опубликован – и потому, в соответствие с ч. 2 ст. 4 152-ФЗ, НЕ МОЖЕТ участвовать в нормотворческой деятельности в области персональных данных.
Кроме того, технические регламенты на продукцию, используемую в целях защиты информации, отсутствуют, а сама такая продукция не включена в перечень продукции, подлежащей обязательной сертификации, установленным постановлением правительства РФ № 982 от 01.12.09, что также не позволяет применять к ней требования обязательной сертификации.
В настоящее время в Российской Федерации отсутствует система обязательной сертификации средств защиты информации на соответствие требованиям по безопасности информации. Имеющаяся система сертификации ФСТЭК РФ является ДОБРОВОЛЬНОЙ и зарегистрирована Федеральным агентством по техническому регулированию и метрологии в реестре добро-вольных систем сертификации за номером РОСС RU.0001.01БИ00.
Таким образом, указанное требование а) неправомочно и б) невыполнимо. Руководствуясь изложенным выше, считаю необходимым привести формулировку п. 5 Проекта в соответствие с нормой п. 3 ч. 2 152-ФЗ, изложив его в следующей редакции: «Для обеспечения безопасности персональных данных при их обработке в информационных системах могут применяться средства защиты информации, прошедшие оценку соответствия в порядке, установленном законодательством Российской Федерации».
3. Предложение по совершенствованию п. 9 Проекта.
В соответствие с ч. 3 ст. 19 152-ФЗ, требования и соответствующие организационные и технические меры, состав и содержание которых устанавливает настоящий Проект, должны определяться не только актуальными угрозами безопасности ПДн, но и с учетом объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, а также возможного вреда субъекту персональных данных. В соответствие с п. 5 ч. 1 ст. 18.1, Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, исходя из оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, и соотношения указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных (в том числе) рассматриваемым Проектом. Аналогичная норма содержится в п. 7 постановлении правительства РФ № 1119: «Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных» и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных"».
Таким образом, базовые меры должны выбираться исходя из состава и содержания, указанного в Проекте, а его адаптация учитывать оценку вреда и его соотнесение с выбранным набором мер.
В этой связи, предлагается изложить формулировку 4 абзаца п. 9 в следующей редакции: «адаптацию выбранного базового набора мер по обеспечению безопасности персональных данных применительно к структурно-функциональным характеристикам информационной системы, реализуемым информационным технологиям, особенностям функционирования информационной системы, а также с учетом целей защиты персональных данных (конфиденциальности, целостности, доступности) а также исходя из оценки вреда, который может быть причинен субъектам персональных данных в случае не достижения целей защиты и соотношения вреда и выбранных мер по обеспечению безопасности персональных данных».
4. Предложение по совершенствованию п. 12 Проекта.
Учитывая сказанное в отношение п. 5, считаю необходимым изменить формулировку п. 12 Проекта следующим образом: "При использовании средств защиты информации, прошедших сертификацию ФСТЭК РФ на соответствие требованиям безопасности информации (далее по тексту, по пунктам)".
Кроме того, в тексте пункта необходимо сделать ссылку на руководящий документ, устанавливающий соответствующие классы защищенности.