четверг, 22 ноября 2012 г.

Состав и содержание


В ожидании документа от ФСТЭК, перечитал еще раз информационное сообщение и заглянул с утра в любимый всеми нами Закон, на который оно ссылается. Если переписать ч. 4 ст. 19 по-русски, получится:

Федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий устанавливаются состав и содержание:

необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности

(здесь по тексту идет запятая, разделяющая части сложносочиненного предложения)

организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.


В первой части речь, как мы понимаем, идет о ПП-1119, подробно рассмотренного и мной (в проекте), и многими коллегами (в оригинале). Можно было бы предположить, что в ожидаемом документе следует искать методику определения типа угроз безопасности персональных данных, актуальных для информационной системы. Но, если внимательно взглянуть в Постановление - становится понятно, что ее там не будет, поскольку, в соответствие с п. 7 ПП-1119, определение актуальных угроз

производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных"

"Ожидаемый" же документ, как мы знаем из информационного сообщения, разрабатывается в соответствие с ч. 4 ст. 19. 152-ФЗ. Кто же должен определять угрозы? Согласно ч. 5 ст. 19 152-ФЗ - это:
  • Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности;
  • органы государственной власти субъектов Российской Федерации;
  • Банк России;
  • органы государственных внебюджетных фондов;
  • иные государственные органы в пределах своих полномочий.
Как быть оператору в отсутствие этих документов, какими методиками руководствоваться при определении актуальности угроз НДВ - достоверно неизвестно, но если от ФСТЭК и ФСБ не последует никаких "методичек" - "гуляй, рванина!".

А вот обязательные (!) требования к выбору средств защиты информации для системы защиты персональных данных - напротив, очень даже стОит ожидать, поскольку п. 4 ПП-1119 в явном виде указывает на то, что выбор этот

осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных",

и никак иначе. В информационном сообщении, помимо прочего, говорится о преемственности курса и признании старых сертификатов, при этом везде употребляется фраза "может применяться". Разводить демагогию по поводу того, что "может применяться, а может и не применяться" совершенно бессмысленно, поскольку, например, такая фраза

При обеспечении защищенности персональных данных, обрабатываемых в информационных системах персональных данных, могут применяться средства защиты информации, в сертификатах соответствия на которые не приведена информация о возможности их использования для защиты персональных данных.

в документе, описывающем ОБЯЗАТЕЛЬНЫЕ требования к выбору СЗИ, ставит знак равенства между "могут" и "должны". Оценка соответствия не равно сертификация? Идите в суд, товарищи.

Но и это не главное. Вернемся к ч. 4 ст. 19 152-ФЗ, ко второй ее части, что я написал выше. Что мы видим? Она, при определенном прочтении, полностью отвязана от первой, и потому позволяет регуляторам в своих ведомственных НПА расширить перечень требований постановления Правительства как угодно. Почему ПП-1119 такое "куцее" с точки зрения обеспечения безопасности, и почему нам так легко отдали определение актуальности НДВ? Все просто: вы можете хоть замоделироваться угрозами, но "организационные и технические меры" будьте любезны - выполните.

Такая вот "петрушка", дорогие читатели. Именно поэтому нам с Вами крайне необходимо попытаться отрихотвать и "состав", и "содержание".
 

10 комментариев :

  1. Владимир22.11.12

    Главное, чтоб "рихтовка"а в корзину не улетела и 2-е Управление прислушалось к мнению заинтересованных лиц.

    ОтветитьУдалить
  2. Согласен. Но для того, чтобы это проверить - нужно а) сперва им поверить б) поработать. Потом вынесем окончательный вердикт.

    ОтветитьУдалить
  3. Владимир22.11.12

     Поработаем, кстати некоторые Управления ФСТЭК ещё не в курсе об этом сообщении...
    В ЦА сами ещё не понимают, что и как делать, будем ждать "командирских решений"

    ОтветитьУдалить
  4. Владимир22.11.12

      Да и ещё, в ЦА мнение территориальных Управлений не воспринимают, и не
    слушают, хотя предложения разные постоянно отправляются и на сборах
    озвучиваются, а мы надеемся, что нас "сирых" услышат, но попробовать стоит.

    ОтветитьУдалить
  5. Конечно стоит! Главное не втихаря.

    ОтветитьУдалить
  6. Алексей С.26.11.12

    Алексей, у Вас некорректно разбито "сложносочиненное предложение". ФСБ и ФСТЭК определяют только организационные и технические меры по реализации требований,  определенных правительством в ПП 1119.

    ОтветитьУдалить
  7. Это смотря как читать ;) Ничего не искажая, привожу цитату:

    Состав и содержание
    необходимых для выполнения установленных Правительством Российской Федерации в
    соответствии с частью 3 настоящей статьи требований к защите персональных
    данных для каждого из уровней защищенности, организационных и технических мер
    по обеспечению безопасности персональных данных при их обработке в
    информационных системах персональных данных устанавливаются федеральным органом
    исполнительной власти, уполномоченным в области обеспечения безопасности, и
    федеральным органом исполнительной власти, уполномоченным в области
    противодействия техническим разведкам и технической защиты информации, в
    пределах их полномочий.
    Получаем: состав и содержание 1) необходимых для выполнения ... требований ... для каждого уровня защищенности ЗАПЯТАЯ 2) организационных и технических мер ...

    ОтветитьУдалить
  8. Алексей С.26.11.12

    Навряд ли это правильная трактовка, уж больно не по русски получается:
    обычно пишут "обязательных для выполнения требований", а не "необходимых";
    плюс у требований все таки не может быть состава и содержания, а вот у мер как раз может быть и то и другое.
    А момент это принципиальный, так как иначе ФСТЭК и ФСБ может расширить требования установленные правительством в ПП.

    ОтветитьУдалить
  9. Внимательно читаем инфосообщение:

    В соответствии с частью 4 статьи 19 Федерального
    закона от 27 июля
    2006 г. № 152-ФЗ «О персональных данных» и Требованиями к защите персональных
    данных при их обработке в информационных системах персональных данных,
    утвержденными постановлением Правительства Российской Федерации от 1 ноября
    2012 г. № 1119,

    ФСТЭК России завершается работа по подготовке проекта
    нормативного правового акта, устанавливающего состав и содержание организационных и технических мер по
    обеспечению безопасности персональных данных при их обработке в информационных
    системах персональных данных.

    То есть они делают как раз вторую часть ;)

    ОтветитьУдалить