Первое, что меня удивило — это отвечающая сторона. Это Минпромторг. С какого перепугу отвечал мне не аппарат Правительства и не орган исполнительной власти, ответственный в России за персданные (Минкомсвязь), я так и не понял. Но факт остается фактом.
Ответ же Минпромторга был простой — необходимость применения СКЗИ определяется при моделировании угроз. Если оператор ПДн или уполномоченное им лицо посчитают, что угроза нарушения конфиденциальности неактуальна, то применять СКЗИ не требуется.
Второй интересный вывод приведен в конце письма. Т.к. Интернет-пользователи не являются частью ИСПДн сайта Правительства, то и беспокоиться о защите их ПДн в процессе передачи по Интернет не надо. Логично, правда ведь. Могу теперь представить, как могут рассуждать банки, оказывающие услуги ДБО своим клиентам. Если клиент-физлицо не является частью системы ДБО, то и защищать канал до него не требуется. А значит и СКЗИ покупать не надо. И лицензию ФСБ получать тоже. Бинго!
"Пользователи информационной системы не являются частью системы" — ВАУ! Это тогда не только ДБО! При таком подходе, допустим, в больницах всех врачей тоже можно считать вне информационной системы! И всех кто в налоговую отчетность сдает! И в ПФР… И везде…
Вывод 1: требуется защита только сервера, ну если модель за которую платит оператор того потребует.
Вывод 2: Пи. Пи, пи, пи. Пи. Во ФСТЭК и ФСБ можно закрывать направление ПДн.
Этот комментарий был удален автором.
Да, хороший ответ. Лишний раз подтверждают мысль, что все зависит от модели угроз и если не бояться, то можно достаточно эффективно решать вопросы с защитой ПДн
Алексей, ответ от непрофильного министерства не зря :). Ведь если ответ был бы от регулятора, то в дальнейшем на него можно было бы ссылаться, ведь это одна из их обязанностей — давать разъяснения по курируемым направлениям деятельности. А раз ответ от Минпромторга, то и ссылаться в дальнейшем на него не сможете — это не их сфера компетенции. Уж в бюрократических играх они профи…
А самое приятное: "Поскольку данная система имеет разрешение на эксплуатацию, то она может считаться доверенной". Срочно всем сделать разрешения на эксплуатацию!!! 🙂
Отличный документ Алексей, спасибо, посмеялись…
Надо было к 1-му апреля приберечь 🙂
Кроме как приколом такой ответ нельзя назвать
Адекватный ответ=)
Примерно так же отвечала бы частная компания на претензии регулирующего органа.
Реальная защита данных никого не колышит.
Коноплева же.
Алексей, не в обиду будет сказано, но думаю свой пост надо было начать со слов: "а Ronin то был прав!" и в условиях далеко не самого совершенного законодательства дал совершенно точное обоснование, что бы найти возможность, а не искать причину …..
А формулировка, которая используется в ответе
"Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора"
судя по вашему предыдущему посту — сравнению ПП-781 и ПП-1119 утратила силу с отменой ПП-781.
Правда вот на момент написания ответа ещё имела…
Госконтроль и надзор — это одна из форм оценки соответствия. Так что формально они правы. И это лишний раз доказывает, что сертифицированные решения не являются единственной возможностью выполнить требование ФЗ-152 и ПП-1119/ПП-781 по оценке соответствия.
Покапал в интернете, по поводу минпромторга, нашел вот что, "Финансирование программы Информационное общество : создание государственной информационной системы в области технического регулирования.
Ну это-то да. Но они всегда дистанцировались от того, что регулируется 5-й статьей ФЗ-184. Я надеялся, что запрос уйдет в Минкомсвязи, как главному за ПДн в России. Не ушло ;-(
Господа! А по какому поводу сыр-бор? Вы что, считали, что человек входит в состав информационной системы?
По-науке: ИС = СВТ + ЛС + ПО, где ЛС — линии связи.
По-ФСТЭКовски человек входит в состав АС, но не ИС! Так что в этом плане в ответе всё верно.
Согласно закону ИСПДн = ПДн(в БД) + ИТ + ТС. Это, конечно же, глупость (об этом более подробно в №1 Инсайда за этот год), но она возведена в ранг Закона. Ответ писали юристы, а они читают так, как написано, и ничего не додумывают за других.
Атаманову:
Все верно с формальной точки зрения.
Просто в ответе произведена подмена понятий. Говорится о рабочих местах (техсредства) внутри и о пользователях (людях) снаружи. А если перефразировать в "рабочие места пользователей, подключенных к данной системе" все опять войдет в триаду ИС. Кто виноват в такой подмене понятий — "формулировка заданного вопроса" или "подмена понятий в голове юриста"? Боюсь в связи с бюрократической процедурой это узнать не удастся.
И еще одно Вы совершенно правильно отметили — подмену понятий в головах "экспертов-специалистов", которые говоря "пользователь" имеют ввиду его рабочее место.
И третье. "Спасибо" тем, кто подменил понятия во ФСТЭКовских и ФСБшных документах. Суть на мой взгляд в следующем:
1. ИСПДн по ФЗ — это триада (БД с ПДн)+(ИТ)+(ТС), причем определяющей является БД, т.к. если она будет, но в ней не будет ПДн эта система превратится из ИСПДн по 152ФЗ в ИС по 149ФЗ.
2. Когда формировалась парадигма классификации ИСПДн, была взята за основу классификация АС. А понятие АС, по своей сути имеет совершенно другой состав/содержание понятия, нежели ИС. Так вот классифицируем и защищаем мы по сути не ИСПДн, а именно АС, в которой обрабатываются ПДн. Почему для определения АС с ПДн использовали понятие ИСПДн, да скорее всего, загвоздка в расставлении приоритетов в триаде ИС — за основу защиты взяты не ПДн, а (ИТ)+(ТС) по логике защитников информации.
Вывод — нет единого понимания понятий — достигнуть согласия невозможно. Что мы и пожинаем.
Как всегда, лично мое мнение.
Кстати сказать про Ваши формулы:
ИС(по науке) = СВТ + ЛС + ПО
и
ИСПДн(по закону)= ПДн(в БД) + ИТ + ТС
что то же по 149ФЗ:
ИС(по закону)=БД+ИТ+ТС
Так вот, при:
1. СВТ=ТС, т.к. ТС чуть шире и на будущее, вдруг чего придумают, что нельзя будет считать СВТ, хотя оно будет им по сути
2. ЛС=ИТ, т.к. ИТ чуть шире и включает в себя ЛС, как компоненту, а это задел на будущее, вдруг чего придумают, что нельзя будет считать ЛС, хотя оно будет ею по сути
3. ПО=БД, т.к. БД (в умах законодателей совсем не БАЗА данных, а БАНК данных) уже и как бы четче подчеркивает суть СВЕДЕНИЙ, а если БАНК данных, то шире и включает в себя, в том числе и ПО
получаем
ИС(по науке)=ИС(по закону)
Как бы так.
ZZubre: Спасибо за уточнение. Но про СВТ и ЛС согласен, хотя и не полностью. Наверное вместо СВТ и ТС лучше было бы использовать ТСОИ — техническое средство обработки информации, а вместо ЛС (линий связи) — КТК (каналы телекоммуникации). А вот про ПО-БД не согласен полностью. Систему из сети делает именно ПО = ОС + ППО (прикладное программное обеспечение). А БД = СПО + Д, где СПО — специальное программное обеспечение (оно же СУБД), а Д — данные. Т.е. БД есть только частный случай ПО. Это авторы 152-ФЗ накуралесили, когда в основу ИСПДн положили БД с ПДн. Что совершенно неудивительно. На сегодня самые методологически безграмотные (и при этом ещё и самые амбициозные) — юристы и экономисты. Отсюда все наши беды.
По сути абсолютно согласен.
thanks for sharing.