вторник, 23 августа 2011 г.

Впереди планеты всей


Пока Минкомсвязь думает над количеством и составом подзаконных актов, которые необходимо будет принять во исполнение "нового" 152-ФЗ, уполномоченный орган по защите прав субъектов персональных данных, известный так же как Роскомнадзор, по ходу, уже со всем определился, издав 19 августа 2011 года приказ № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных» (за ссылку спасибо Сергею С.). Документ прелюбопытнейший и достоин "препарирования", чем мы, собственно, сейчас и займемся.

Итак, уведомление теперь можно отправить либо в бумажном, либо в электронном виде (раньше, как мы помним, только в бумажном) - об этом говорит пункт 3. Пункт 6.3 позволяет отнести фотографию (портретное изображение гражданина) к пункту 6.1 в случае, если она не используется для установления личности субъекта (хорошо, если бы и цель "установление личности" не была заявлена оператором в пункте 5). "Смешанная обработка" осталась, хотя в законе это определение отсутствует, и поэтому непонятно, что считать таковой: то ли симбиоз "неавтоматизированной" и "исключительно автоматизированной", то ли просто "автоматизированную обработку".

Но самое интересное указано в пункте 10 - приведу его целиком:

10. В поле «описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», указываются:
а) описание мер, предусмотренных ст.ст. 18.1 и 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
б) фамилия, имя, отчество физического лица или сотрудника юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
в) класс информационной системы персональных данных Оператора (пункт 14 приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
г) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

В случае использования Оператором, осуществляющим обработку персональных данных, шифровальных (криптографических) средств указываются следующие сведения:
а) наименование, регистрационные номера и производителей используемых криптографических средств;
б) уровень криптографической защиты персональных данных;
в) уровень специальной защиты от утечки по каналам побочных излучений и наводок;
г) уровень защиты от несанкционированного доступа.

В первом приближении видно, что пункты 10.А и 10.Г фактически дублируют друг друга (последний, видимо, остался по-старинке). В пункте 10.В оператору предлагается указать класс ИСПДн (!), для чего - совершенно непонятно, так как классификация теперь - занятие совершенно бессмысленное и ровным счетом ни на что не влияющее. Ну и наконец, какое отношение к шифровальным (криптографическим) средствам имеет защита от ПЭМИН (второй абзац, 10.В) и НСД (второй абзац, 10.Г) - лично для меня абсолютная и неразрешимая загадка. Может, у читателей найдется ответ?

1 комментарий :

  1. Александр24.8.11

    Алексей, добрый день!

    Ранее (в 2009 году) ответ на вопрос касательно уровней специальной защиты от утечки по каналам побочных излучений и наводок и защиты от несанкционированного доступа при защите персональных данных с использованием криптосредств пытались дать разработчики КРИПТО-ПРО на своем форуме: http://www.cryptopro.ru/forum2/Default.aspx?g=posts&t=1996

    ОтветитьУдалить