Приказ ФСТЭК по ПДн зарегистрирован в Минюсте

15 мая долгожданный приказ ФСТЭК №21 от 18 февраля 2013 года «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» был зарегистрирован в Минюсте. В ближайшие пару дней он должен попасть в реестр зарегистрированных нормативных актов, а в течение недели он должен быть официально опубликован.

Для тех, кому лень ждать официального опубликования и хочется поскорее узнать, что же написано в приказе, рекомендую посмотреть запись семинара RISSPA, который проводился в марте. Презентация до сих пор актуальна.

Мое мнение об этом приказе не изменилось 😉 Я считаю, что это один из лучших документов, которые выпускался не только ФСТЭК, но и всеми другими регуляторами по ИБ. Есть ли к нему претензии? Наверное есть. Вон Ригель целый пост недавно написал с критикой. Мол фермеры его не поймут. Увы… Квалификацию каждого фермера не учтешь. Планируемые документы ФСТЭК по моделированию угроз и по разъяснению содержания конкретных мер вместе с 21-м приказом должны составить неплохую триаду требований по защите персональных данных.

По сути, ФСТЭК в итоге вышла на те же нормы, что прописаны в Евроконвенции — оператор самостоятельно выбирает меры защиты исходя из актуальных угроз, особенной обработки ПДн, применяемых технологий и адекватности защиты наносимому ущербу. Да, хорошо бы, если бы эта идея была прописана сразу в ФЗ-152; тогда бы не пришлось городить огород с ПП-1119 и подзаконными актами. Но что есть, то есть. ФСТЭК работала в тех условиях и при тех исходных данных, которые были спущены сверху. Поменять ФЗ-152 или ПП-1119 ФСТЭК не в состоянии.

Ну и в заключение поста напомню, что за последнее время было принято еще несколько нормативных актов по части ПДн:

  • приказ РКН «Об утверждении перечня иностранных государств,
    не являющихся сторонами Конвенции Совета Европы о защите физических лиц
    при автоматизированной обработке персональных данных и обеспечивающих
    адекватную защиту прав субъектов персональных данных»
  • закон «О внесении изменений в некоторые законодательные акты РФ в
    связи с принятием ФЗ «О ратификации Конвенции Совета Европы о защите
    физических лиц при автоматизированной обработке персональных данных».

Европа должна в ближайшее время принять новую редакцию Евроконвенции. В следующем году станет ясно, в каком варианте будут приняты новые Директивы по ПДн. В обозримом будущем должен быть принят приказ РКН по методам обезличивания, приказ ФСБ по шифрованию ПДн, отраслевая модель угроз ПДн Банка России. Из менее понятных с точки зрения прогнозов могут быть приняты поправки в КоАП по увеличению штрафов за нарушение правил обработки ПДн, проект Постановления Правительства по надзору в сфере ПДн, поправки в ФЗ-152, законопроект Аксакова, новые составы в ст.13.12 КоАП за нарушение правил защиты информации.

Так что этот год станет очень насыщенным с точки зрения законодательства по ПДн. Очень насыщенным…

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Unknown

    Алексей, а когда нам ждать регистрацию приказа 17 о ГИС? А также Ваш вебинвр по этому приказу?

    Ответить
  2. Алексей Лукацкий

    По 17-му приказу, думаю, тоже скоро — до конца мая

    Ответить
  3. Unknown

    Спасибо, ждём… Начали активную работу по приведению документов организации (администрация муниципального района) к требованиям 17-му приказа, и насколько я знаю группы требований (и собственно сами требования) значительно изменились от требований, изложенных в проекте 17-го приказа.

    Ответить
  4. AlexBarysh

    Алексей, а откуда информация? Так как на сайте Минюста нет сведений о зарегистрированных НПА от ФСТЭК после Приказа 16 (http://minjust.consultant.ru/).

    Ответить
  5. Unknown

    Алексей, в какое обозримое будущее ожидать отраслевую модель угроз ПДн Банка России?

    Ответить
  6. Алексей Лукацкий

    AlexBarysh: из Минюста информация

    Ответить
  7. Алексей Лукацкий

    Robert: к осени, думаю

    Ответить
  8. Unknown

    А как определять тип угроз?
    В приказе по этому поводу тишина. Или это будет в новой методике определения актуальности? Видел методику определения типов угроз от Минздравсоцразвития, которая одобрена ФСТЭК. Только это "костыли" какие-то. Что толку от 21 приказа (хотя мне он тоже понравился — навеяло "Общими критериями"), если тип угроз не понятно как определять? Хотя многие просто считают (а некоторые региональные органы исполнительной власти рекомендуют считать) все угрозы 3-го типа. Видимо будем как в Германии — 30 лет идти к нормальной защите ПДн.

    Ответить
  9. Алексей Лукацкий

    Актуальность определяет оператор и только он. А ФСТЭК готовит методику по уже актуальным для вас угрозам

    Ответить
  10. Unknown

    С актуальностью понятно (и было понятно до этого). С типом не понятно, как его определить?

    Ответить
  11. Алексей Лукацкий

    Исходя из актуальности. Я считаю актуальным только 3-й тип

    Ответить
  12. Unknown

    Алексей, а для ГИС актуальность угроз также определяет оператор? И может ли оператор ГИС исключать угрозы и соответствующие требования по ЗИ, исходя из грамотно составленной модели угроз (неактуальности угроз) ?

    Ответить
  13. Unknown

    Согласно ПП 1119 от 01.11.2012:
    "7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18 [1] Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных"."
    Получается — какой тип хочу, такой и ставлю? А что за нормативные правовые акты имеются в виду? Пока их не видно.

    Ответить
  14. Алексей Лукацкий

    Виталий, может

    Ответить
  15. Алексей Лукацкий

    Леонид, именно так

    Ответить
  16. Алексей Лукацкий

    Регистрационный номер приказа ФСТЭК по ПДн в Минюсте №28375 от 14 мая 2013 г.

    Ответить
  17. Unknown

    Алексей, а не подскажите с какого числа данный документ вступает в силу?
    И что делать с системами, которые были приведены в соответствие с ФЗ-152, до вступления в силу данного приказа?

    Ответить
  18. Лицензиат

    Свершилось — http://minjust.consultant.ru/page.aspx?1045253
    Беда только в том, что отсутствие п.5 не смутило ни одного "утверждальщика" и "согласовальщика"!

    Ответить
  19. Alex Ster

    Алексей, подскажите пожалуйста какую "процедуру оценки соответствия в установленном порядке" (п.4 Приказа) должен пройти, например, приобретаемый маршрутизатор Cisco, для выставления на периметре ИСПДн предприятия (не ГИС) в качестве МЭ. Сертификация, насколько я понял из документов (ПП 1119 и Приказ №21), а так же ваших презентаций и записи семинара, вовсе не обязательна, тогда что же. Контролирующие органы, бумажки требуют, дык что им показывать в случае проверки, если не сертификат(ы).
    Спасибо.

    Ответить
  20. Алексей Лукацкий

    По ПДн вас никто не проверит, поэтому вопрос теоретический. А формы оценки (их 7) описаны в 184-ФЗ. Среди них есть ввод в эксплуатацию

    Ответить
  21. Сфинкс с Невы

    Этот комментарий был удален автором.

    Ответить
  22. Анонимный

    Этот комментарий был удален автором.

    Ответить
  23. Анонимный

    Алексей, вот такой вопрос:
    После выхода 17го приказа для ГИС, в соответствующих гос. учреждениях смогут вообще не обращаться к №21?

    Если да, то как это обосновать?
    Или требования к классам в №17 полностью перекроют соответствующие требования для УЗ из №21?

    Ответить
  24. Алексей Лукацкий

    Вообще требования 17-го перекрывают 21-й. Там плюсиков больше в таблице с мерами

    Ответить
  25. Анонимный

    Алексей, судя по тому проекту Приказа №17, который удалось найти, не совсем перекрывает.

    Если взять УЗ-3 по №21 и К3 по №17 (для объектового масштаба в самый раз) и рассмотреть, например, требования для виртуальной среды, то по №21 есть "идентификация и аутентификация", "управление антивирусами в виртуальной среде" и "разбиение на сегменты", а по №17 в отличие от этого есть "резервное копирование и резервирование".

    Т.е. требование ЗСВ.9 из 21го для УЗ-3 есть, а аналогичное требование ЗСВ.11 идет только для К1-К2.
    Зато ЗСВ.8 из 21го для УЗ-3 нет, а аналогичное ЗСВ.9 для К3 из 17го есть.

    Ответить
  26. Unknown

    Алексей, а как теперь строить модель угроз? ведь со вступлением в силу ПП 1119 и 21го приказа ФСТЭК "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 14 февраля 2008" теперь неактуальна?

    Ответить
  27. Unknown

    Этот комментарий был удален автором.

    Ответить
  28. Алексей Лукацкий

    Евгений, ну 100%-го сочетания УЗ из 21-го приказа и КЗ из 17-го трудно добиться

    Ответить
  29. Алексей Лукацкий

    Никита, пока стройте по ней. Любая методика использует два параметра — вероятность и ущерб. Так было, так будет

    Ответить
  30. Unknown

    Алексей, большое спасибо. нужно было для дипломной работы

    Ответить