Компания «ДиалогНаука», системный интегратор, консультант и дистрибьютор в области информационной безопасности, информирует о произошедших изменениях законодательства РФ о персональных данных.

В 2009-2010 гг. были внесены некоторые изменения в законодательство о персональных данных.

Федеральный закон № 266-ФЗ [1] внес изменения в ФЗ «О персональных данных» [2] по вопросам реализации международных договоров Российской Федерации о реадмиссии1.

При необходимости обработки персональных (ПДн) данных в связи с реализацией международных договоров Российской Федерации о реадмиссии:

• согласие субъекта персональных данных не требуется;
• допускается обработка специальных категорий персональных данных;
• обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных;
• может осуществляться трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных.

Федеральный закон № 363-ФЗ [3] исключил обязанность оператора использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Тем не менее, необходимо отметить, что использование средств криптографической защиты регламентируется нормативными документами ФСБ РФ и определяется на основе модели нарушителя.

Таким образом, в случае использования каналов связи для передачи персональных данных за пределы контролируемой зоны и невозможности обеспечить защиту этой информации организационными мерами необходимо использовать криптографические средства защиты. При этом если информация передается в пределах контролируемой зоны, то в этом случае она может не защищаться криптографическими методами. Необходимо отметить, что все средства криптографической защиты информации должны иметь сертификат соответствия ФСБ на комплекс в целом, либо иметь заключение ФСБ о корректности встраивания криптографии.

Закон [3] так же продлил срок до которого информационные системы персональных данных (ИСПДн) должны быть приведены в соответствие с требованиями Федерального закона [2].

Теперь информационные системы персональных данных, созданные до 1 января 2010 года, должны быть приведены в соответствие с требованиями Федерального закона [2] не позднее 1 января 2011 года. При этом необходимо отметить, что те информационные системы, которые вводятся в эксплуатацию после 1 января 2010 года, уже должны соответствовать требованиям по защите персональных данных.

16 марта 2010 г. вступил в силу Приказ ФСТЭК России [4], в соответствии с которым принято «Положения о методах и способах защиты информации в информационных системах персональных данных».

Утвержденное Положение определяет методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных операторами2 или уполномоченными лицами3.

В Положении не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных к сведениям, составляющим государственную тайну, а также вопросы применения криптографических методов и способов защиты информации.

В связи с изданием приказа ФСТЭК России [4], решением ФСТЭК России [5] с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных не применяются следующие методические документы ФСТЭК России:

• Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
• Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

Таким образом, с 15 марта 2010 года методы и способы защиты информации в информационных системах персональных данных устанавливаются ФСТЭК России в следующих документах:

• «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн»;
• «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн»;
• «Положения о методах и способах защиты информации в информационных системах персональных данных».

Новое Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное Приказом ФСТЭК РФ № 58, вносит следующие ключевые изменения в требования по защите ПДн:

• отменяется обязательность аттестации ИСПДн операторов вне зависимости от классов информационных систем;
• отменяется требование по обязательному наличию сертификата ФСТЭК на отсутствие недекларированных возможностей для ИСПДн 2-го класса. Данное требование остается обязательным только для ИСПДн 1-го класса;
• отменяется обязательное требование по защите информации от утечки по техническим каналам. Теперь защита от данных видов угроз необходима только в том случае, если данная угроза является актуальной в соответствии с моделью угроз.

Необходимо отметить, что внесенные изменения не отменяют необходимость использования сертифицированных средств защиты информации, так как это требование содержится как в Приказе ФСТЭК РФ № 58, так и в Постановлении Правительства РФ № 781.

Несмотря на отсутствие требования по обязательной аттестации ИСПДн ЗАО «ДиалогНаука» рекомендует проводить данную процедуру для ИСПДн 1-го и 2-го класса, так как это позволяет получить документ, гарантирующий соответствие требованиям законодательства в области защиты ПДн. Это в свою очередь позволяет значительно упростить процедуры проверок со стороны регуляторов, а также переложить ответственность на организацию, выдавшую аттестат соответствия.

1. «Реадмиссия» - передача запрашивающим государством и принятие запрашиваемым государством лиц (граждан запрашиваемого государства, граждан третьих государств или лиц без гражданства), чей въезд, пребывание или проживание в запрашивающем государстве признаны незаконными.
2. Оператор - государственные, муниципальные органы, юридические или физические лица, организующие или осуществляющие обработку персональных данных, а также определяющие цели и содержание их обработки.
3. Уполномоченное лицо - лицо, которому на основании договора оператор поручает обработку персональных данных.

Источники:
[1] Федеральный закон от 25.11.2009 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» по вопросам реализации международных договоров Российской Федерации о реадмиссии».
[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
[3] Федеральный закон от 27.12.2009 № 363-ФЗ «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных».
[4] Приказ ФСТЭК РФ от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
[5] Решение ФСТЭК России от 05.03.2010 г.

Источник: Пресс-служба «ДиалогНаука»

Версия для печати (без изображений)   Все новости