15 мая долгожданный приказ ФСТЭК №21 от 18 февраля 2013 года "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" был зарегистрирован в Минюсте. В ближайшие пару дней он должен попасть в реестр зарегистрированных нормативных актов, а в течение недели он должен быть официально опубликован.
Для тех, кому лень ждать официального опубликования и хочется поскорее узнать, что же написано в приказе, рекомендую посмотреть запись семинара RISSPA, который проводился в марте. Презентация до сих пор актуальна.
Мое мнение об этом приказе не изменилось ;-) Я считаю, что это один из лучших документов, которые выпускался не только ФСТЭК, но и всеми другими регуляторами по ИБ. Есть ли к нему претензии? Наверное есть. Вон Ригель целый пост недавно написал с критикой. Мол фермеры его не поймут. Увы... Квалификацию каждого фермера не учтешь. Планируемые документы ФСТЭК по моделированию угроз и по разъяснению содержания конкретных мер вместе с 21-м приказом должны составить неплохую триаду требований по защите персональных данных.
По сути, ФСТЭК в итоге вышла на те же нормы, что прописаны в Евроконвенции - оператор самостоятельно выбирает меры защиты исходя из актуальных угроз, особенной обработки ПДн, применяемых технологий и адекватности защиты наносимому ущербу. Да, хорошо бы, если бы эта идея была прописана сразу в ФЗ-152; тогда бы не пришлось городить огород с ПП-1119 и подзаконными актами. Но что есть, то есть. ФСТЭК работала в тех условиях и при тех исходных данных, которые были спущены сверху. Поменять ФЗ-152 или ПП-1119 ФСТЭК не в состоянии.
Ну и в заключение поста напомню, что за последнее время было принято еще несколько нормативных актов по части ПДн:
Так что этот год станет очень насыщенным с точки зрения законодательства по ПДн. Очень насыщенным...
Для тех, кому лень ждать официального опубликования и хочется поскорее узнать, что же написано в приказе, рекомендую посмотреть запись семинара RISSPA, который проводился в марте. Презентация до сих пор актуальна.
Мое мнение об этом приказе не изменилось ;-) Я считаю, что это один из лучших документов, которые выпускался не только ФСТЭК, но и всеми другими регуляторами по ИБ. Есть ли к нему претензии? Наверное есть. Вон Ригель целый пост недавно написал с критикой. Мол фермеры его не поймут. Увы... Квалификацию каждого фермера не учтешь. Планируемые документы ФСТЭК по моделированию угроз и по разъяснению содержания конкретных мер вместе с 21-м приказом должны составить неплохую триаду требований по защите персональных данных.
По сути, ФСТЭК в итоге вышла на те же нормы, что прописаны в Евроконвенции - оператор самостоятельно выбирает меры защиты исходя из актуальных угроз, особенной обработки ПДн, применяемых технологий и адекватности защиты наносимому ущербу. Да, хорошо бы, если бы эта идея была прописана сразу в ФЗ-152; тогда бы не пришлось городить огород с ПП-1119 и подзаконными актами. Но что есть, то есть. ФСТЭК работала в тех условиях и при тех исходных данных, которые были спущены сверху. Поменять ФЗ-152 или ПП-1119 ФСТЭК не в состоянии.
Ну и в заключение поста напомню, что за последнее время было принято еще несколько нормативных актов по части ПДн:
- приказ РКН "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных"
- закон "О внесении изменений в некоторые законодательные акты РФ в связи с принятием ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".
Так что этот год станет очень насыщенным с точки зрения законодательства по ПДн. Очень насыщенным...
