Защита ПДн по новому стилю: Минюст утвердил приказ ФСТЭК №21 (SOISO)

Защита ПДн по новому стилю: Минюст утвердил приказ ФСТЭК №21 (SOISO)
Дождались, приказ ФСТЭК России №21 (он же SOISO) зарегистрирован в Минюсте. Приказ определяет состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн. Документ является ключевым для обеспечения безопасности ПДн.

Кратко напомню историю появления документа.
В начале ноября 2012 года было опубликовано Постановление Правительства РФ от 01.11.2012 г. №1119 "Об утверждении требований к защите ПДн при их обработке в ИСПДн". Оно отменило (признало утратившим силу) Постановление от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн",  определило уровни защищенности ПДн (про них мы уже видели упоминание в 152-ФЗ в редакции от 25.07.2011) и общие требования к ним. Помимо этого в п.4 документа сказано:
«4. Выбор средств защиты информации для СЗПДн осуществляется оператором в соответствии с нормативными правовыми актами, принятыми ФСБ России и ФСТЭК России во исполнение части 4 статьи 19 Федерального закона "О персональных данных ".»
В части 4 статьи 19 152-ФЗ мы видим:
«4. Состав и содержание необходимых для выполнения установленных Правительством РФ в соответствии с частью 3 настоящей статьи требований к защите ПДн для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.»
Вот именно из-за этого ФСТЭК России и пришлось вносить правки в свои положения по защите ПДн. Регулятор пошел по пути издания нового документа, а не внесения изменений в старые. Первая версия (проект) требований появилась на сайте ФСТЭК России 7 декабря 2012 года. При этом регулятор попросил заинтересованных лиц присылать свои замечания и предложения, что мы и сделали…
В период с 28 января по 4 февраля 2013 года прошли три совещания во ФСТЭК России, на которые были привлечены внешние эксперты. Мы обсудили и внесли предложения по правкам, стараясь сделать требования по защите ПДн чуть более понятными и обоснованными, а также снизить нагрузку на операторов при их выполнении.
Последняя версию документа, которую я видел, была от 9 февраля. Она же с небольшими правками в текстовой части ушла в Минюст России уже 18 февраля. Сейчас приказ ФСТЭК России от 18 февраля 2013 г. № 21 « Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных » (Регистрационный №28375 от 14 мая 2013г. (МинюстРоссии)) уже доступен операторам ПДн.

Что же нового для операторов персональных данных несет данный документ?
  1. Приказ ФСТЭК России от 5 февраля 2010 №58 официально утратил силу. Это было вполне ожидаемо в связи с выходом ПП1119, ведь последняя идеология СЗПДн (уровни защищенности) требовала внесения существенных правок в прежние требования к защите.
  2. Изменился подход к выбору мер защиты. Процедура стала чуть сложнее, чем была до ПП1119, но теперь операторы ПДн могут отказываться от обязательных мер в угоду компенсирующим, учитывая их экономическую целесообразность. Подробнее об этом я уже писал тут .
  3. Существенно изменился перечень мер защиты (по сравнению с подходом из ПП781 и  Приказа ФСТЭК №58). Сейчас стало 15 групп мер, с кратким описанием содержания в приложении. Про изменение перечня мер от 1й редакции документа я писал тут.  Итого сейчас мы имеем:
    • Всего мер - 109
    • Базовых мер для УЗ 4 - 27
    • Базовых мер для УЗ 3 - 41
    • Базовых мер для УЗ 2 - 63
    • Базовых мер для УЗ 1 - 69
    • Всего дополнительных (компенсирующих) мер - 40
  4. Появились дополнительные меры, направленные на снижение актуальных угроз к 1 и 2 типа (НДВ). А именно могут применяться следующие меры:
    • проверка системного и (или) прикладного программного обеспечения включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых
    • тестирование информационной системы на проникновения
    • использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.
  5. Требования к классам сертифицированных СЗИприведены к уровням защищенности. Информацию свел в таблицу:
  6. Появилось требование по регулярной (1 раз в 3 года) оценке эффективности реализованных мер (п.6). Что интересно, в финальной версии SOISO, которую я видел, использовался термин "оценка достаточности мер". 
  7. Прописана возможность привлечения лицензиатов ФСТЭК для выполнения работ по обеспечению безопасности ПДн и (или) оценки эффективности реализованных мер (п.2, п.6).
Каждое из этих нововведений довольно интересно и требует глубокого вдумчивого анализа (особенно таблица с базовыми мерами) операторами ПДн. При этом меня уже радует тот факт, что можно довольно гибко подходить к выбору мер защиты, а не просто "в лоб" выполнять требования регулятора.

Удачи с изучением документа! Там есть над чем подумать...



Дополнительно можно посмотреть:

И еще:

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь

Andrey Prozorov

Информационная безопасность в России и мире