В 2010 году база правовой документации в области ПДн продолжала пополняться. В частности свет увидели 2 постановления с длинными названиями (см. ниже): ПП № 266 (общедоступное, но малоинтересное широким кругам), а также ПП № 330 (имеет пометку «Для служебного пользования»).
ПП РФ от 21 апреля 2010 г. № 266 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации» (http://www.rg.ru/2010/05/04/gostaina-dok.html)
ПП РФ от 15 мая 2010 г. № 330 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)».
Согласно закону «О техническом регулировании» (184-ФЗ от 27.12.2002 г.), оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту.
Формами оценки соответствия согласно п. 3 ст. 7 указанного закона являются государственный контроль (надзор), аккредитация, испытание, регистрация, подтверждение соответствия, приемка и ввод в эксплуатацию объекта, строительство которого закончено, и иные формы. Таким образом, подтверждение соответствия является лишь одной из форм оценки соответствия.
Подтверждение соответствия - документальное удостоверение соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.
В свою очередь формами подтверждения соответствия являются: декларирование соответствия и сертификация. Причем согласно нормам ст. 20 184-ФЗ в форме декларирования соответствия и обязательной сертификации осуществляется обязательное подтверждение соответствия, а в форме добровольной сертификации - добровольное подтверждение соответствия.
Т.о. результатом подтверждения соответствия является документальное свидетельство (сертификат соответствия или декларация о соответствии), удостоверяющее, что продукция соответствует установленным требованиям.
Еще с конца 2009 года в общем доступе стали появляться результаты работ организаций, озаботившихся вопросами защиты ПДн.
Министерство здравоохранения и социального развития РФ имеет в своем активе:
«Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости» (включая «Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сфере труда и занятости» и Приложения (26 шт.):
http://www.minzdravsoc.ru/docs/mzsr/informatics/5/Metodicheskie_rekomendatcii.doc
http://www.minzdravsoc.ru/docs/mzsr/informatics/5/Metodika_sostavleniya_CHMU_v_uchrezhdeniyah_Minzdravsotcrazvitiya.doc
http://www.minzdravsoc.ru/docs/mzsr/informatics/5/Prilozheniya.zip
«Модель угроз типовой медицинской информационной системы (МИС) типового лечебно профилактического учреждения (ЛПУ)» http://www.minzdravsoc.ru/docs/mzsr/informatics/4/Modely_ugroz_MIS_LPU_2009_all.pdf
Модель угроз содержит следующий вывод:
Учитывая особенности функционирования, небольшое количество актуальных угроз и незначительность опасности их реализации, МИС определяется как специальная ИСПДн с требованиями по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, в основном, соответствующими 3-му классу.
Это несмотря на то, что при наличии в ИСПДн данных о состоянии здоровья класс системы должен быть К1 в соответствии с «трёхглавым приказом»…
Так называемое «письмо шестерых» (Банк России, Ассоциация российских банков, ФСТЭК России, Роскомнадзор, ФСБ и АРБР) (http://www.arb.ru/site/docs/docs.php?doc=968) летом 2010 года оповестило о выходе комплекса документов в области стандартизации Банка России, среди которых:
«Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации»;
«Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации»;
«Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации».
Документы согласованы ФСБ России, Роскомнадзором, ФСТЭК России и опубликованы в «Вестнике Банка России» № 36-37 (1205-1206) от 29.06.2010 г. (http://cbr.ru/publ/Vestnik/ves100629036-37.pdf).
Подразумевается введение (приказом, распоряжением) организацией БС данного комплекта документов совместно с документами стандарта Банка России, с предоставлением информации о данном решении в Центральный банк РФ; приведение организации в соответствие требованиям стандарта с проведением оценки соответствия, для чего допускается осуществить её собственными силами (самооценка) и выпустить документ о подтверждении соответствия.
Помимо прочего, документация содержит ряд шаблонов разрабатываемой документации (17 документов), алгоритмы обезличивания ПДн, а также предусматривают классификацию ИСПДн, отличную от изложенной в «трёхглавом приказе»:
ИСПДн обработки специальных категорий персональных данных (ИСПДн-С);
ИСПДн обработки биометрических персональных данных (ИСПДн-Б);
ИСПДн обработки персональных данных, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным (ИСПДн-И);
ИСПДн обработки общедоступных и (или) обезличенных персональных данных (ИСПДн-Д).
Для Министерства связи и массовых коммуникаций РФ разработаны (http://infocomunion.ru/docs/int/triton/):
ICU-15-2009-K – Концепция защиты персональных данных;
ICU-09-2009-ОМ1 – Отраслевая модель угроз;
ICU-04-2009-ОK – Отраслевой классификатор.
Помимо нормативно-методических документов ФСТЭК России, требования по защите ИСПДн различных типов предполагается осуществлять в соответствии с определёнными профилями защиты.
В конце года были подготовлены проекты документов по защите ИСПДн в негосударственных пенсионных фондах, которые будут приняты на Общем собрании НП «НАПФ» 24 июня 2011 г.:
СТО НАПФ 4.1-2010 Организация обработки и защиты ПДн в НПФ;
Р НАПФ 4.2-2010 Рекомендации по обеспечению безопасности ПДн, обрабатываемых в ИСПДн НПФ;
Р НАПФ 4.3-2010 Рекомендации по формированию ОРД (15 документов);
Р НАПФ 4.4-2010 Проведение аудита на соответствие требованиям к обработке и защите ПДн в НПФ.
2010 год завершился выходом в свет Федерального закона № 359-ФЗ «О внесении изменения в статью 25 федерального закона «О персональных данных» от 23 декабря 2010 года, который отсрочил необходимость приведения ИСПДн в соответствие требованиям 152-ФЗ до 1 июля 2011 года.
Комментариев нет:
Отправить комментарий