В наших правовых базах, в свободном доступе, появился текст Закона «О персональных данных». Долгое общение с юристами приучило меня к одному нехитрому правилу, если ты работаешь с текстами законов, то лучше их брать с правовых баз с актуальным обновлением. Достоинство этого подхода: ты четко понимаешь, что работаешь с действующей версией документа, можно посмотреть историю и любую из предыдущих версий, а так же статус документа. Поиск нужного адреса прост как апельсин: в яндексе набираем "152-ФЗ base" и на первых двух местах видим ссылки на Консультант-плюс и Гарант. В особо щекотливые моменты, проверяю по двум базам.
Теперь собственно о поправках. Справка о документе в Internet версии Консультанта:
Начало действия редакции - 27.07.2011.
name='more'>
- - - - - - - - - - - - - - - - - - - - - - - - - -
Изменения, внесенные Федеральным законом от 25.07.2011 N 261-ФЗ, вступили в силу со дня его официального опубликования (опубликован в "Российской газете" - 27.07.2011).
Т.е. мы теперь живем по новому закону, а это порождает некоторое количество вопросов:
1. Что делать с типовыми ИСПДН из "приказа трех"?
Из определения "приказа трех" мы знаем, что " Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальностиперсональных данных" и последующая классификация производится только для типовых ИСПДН.
Определение специальных информационных "информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальностиперсональных данных требуется обеспечить хотя бы одну из характеристик безопасностиперсональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)".
Однако, в ст.5 п.6 152-ФЗ в новой редакции мы видим "При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальностьпо отношению к целям обработки персональных данных...".
Таким образом, типовые информационные системы 27 июля 2011 года чудесным образом стали специальными, со всем вытекающими последствиями. А сами классы к4-к1 оказались без наполнения.
Как следствие приложения Приказа ФСТЭК № 58 "Методы и способы защиты информации от несанкционированного доступа в зависимости от класса Информационной системы" так же повисают в воздухе, т.к. идет привязка к классификации на основании приказа трех.
Далее становится интересно совсем.
Согласно положениям приказа трех оператор "по результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасностиперсональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления ПравительстваРоссийской Федерации от 17 ноября 2007 г. N 781…".
Однако ст.15 п. 5 задачу определения актуальных угроз возлагает на государственные структуры: "Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системахперсональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки".
Таким образом, сейчас операторы, классифицировавшие свои системы, как типовые оказываются в состоянии неопределенности.
Продолжение следует...
Теперь собственно о поправках. Справка о документе в Internet версии Консультанта:
Начало действия редакции - 27.07.2011.
name='more'>
- - - - - - - - - - - - - - - - - - - - - - - - - -
Изменения, внесенные Федеральным законом от 25.07.2011 N 261-ФЗ, вступили в силу со дня его официального опубликования (опубликован в "Российской газете" - 27.07.2011).
Т.е. мы теперь живем по новому закону, а это порождает некоторое количество вопросов:
1. Что делать с типовыми ИСПДН из "приказа трех"?
Из определения "приказа трех" мы знаем, что " Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальностиперсональных данных" и последующая классификация производится только для типовых ИСПДН.
Определение специальных информационных "информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальностиперсональных данных требуется обеспечить хотя бы одну из характеристик безопасностиперсональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)".
Однако, в ст.5 п.6 152-ФЗ в новой редакции мы видим "При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальностьпо отношению к целям обработки персональных данных...".
Таким образом, типовые информационные системы 27 июля 2011 года чудесным образом стали специальными, со всем вытекающими последствиями. А сами классы к4-к1 оказались без наполнения.
Как следствие приложения Приказа ФСТЭК № 58 "Методы и способы защиты информации от несанкционированного доступа в зависимости от класса Информационной системы" так же повисают в воздухе, т.к. идет привязка к классификации на основании приказа трех.
Далее становится интересно совсем.
Согласно положениям приказа трех оператор "по результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасностиперсональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления ПравительстваРоссийской Федерации от 17 ноября 2007 г. N 781…".
Однако ст.15 п. 5 задачу определения актуальных угроз возлагает на государственные структуры: "Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системахперсональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки".
Таким образом, сейчас операторы, классифицировавшие свои системы, как типовые оказываются в состоянии неопределенности.
Продолжение следует...
