1

Тема: Мероприятия по защите ПДн

02.02.2010г. в рамках форума "Технологии Безопасности-2010" прошла конференция по защите ПДн, в которой приняли участие представители ФСТЭК и ФСБ.
   Несмотря на то, что подобных мероприятияй проводилось и проводится огромное количество,  эта тема до сих пор вызывает бурный интерес у публики. Об этом говорило то, что конференц-зал был полон. Как ни странно, но у многих участников возникали вопросы по внесенным в прошлом году изменениям в 152 ФЗ, что мол теперь криптосредства можно не использовать и т.п. Эти мысли были развеяны представителем 8 Центра ФСБ Гавриловым В.Е. Если принимаемых организационных и технических мер не достаточно для защиты ПДн, то необходимо применять сертифицированные криптосредства со всеми вытекающими последствиями.
   Также представителям ФСБ и ФСТЭК был задан вопрос по поводу отраслевых стандартов Банка России и телекомов. На что они ответили, что тексты стандартов они получили, но пока никакого решения не принято.
   Было много вопросов по моделям угроз, аттестации, совместным проверкам РКН, ФСТЭК и ФСБ и т.п.
   По ходу диалога было видно, что представители некоторых компаний пытаются противопоставлять обязательность выполнения требований регуляторов и интересов бизнеса, при этом полностью забывая, что закон направлен на защиту конституционных прав субъектов ПДн, а не на ущемление прав операторов.

2

Re: Мероприятия по защите ПДн

Igor Khayrov пишет:

Также представителям ФСБ и ФСТЭК был задан вопрос по поводу отраслевых стандартов Банка России и телекомов. На что они ответили, что тексты стандартов они получили, но пока никакого решения не принято.

Во всяком случае текст проекта приказа ФСТЭК гораздо ближе к СТО БР, чем "Основные мероприятия" wink

3

Re: Мероприятия по защите ПДн

Еще вопросы, которые обсуждались на конференции:

1. Перенесли только срок, до которого нужно привести в соответствие старые системы, ане срок вступления закона. Закон вступил в силу через полгода после его принятия.
2. Говорят, что после внесения изменений в закон вообще не нужно применять криптографию. Криптографию применять нужно если:
- Информация выходит за пределы контролируемой зоны и нет возможности иным способом обеспечить ее защиту;
- для обеспечения юридически значимого документооборота (ЭЦП - это СКЗИ).
- иные средства защиты не достаточны.
3. Документы ФСБ по персональным данным не прошли регистрацию в Минюсте. Если это смущает, то можно взятьПКЗ-2005 и "Розовую инструкцию" ФАПСИ (утвержденную 152 приказом), которые прошли регистрацию в Минюсте. Если вы сделаете все так, как там написано, то к вам претензий не будет.
4. Говоря о модели угроз и анализе рисков, нужно говорить об угрозах субъекта ПДн, а не оператора. Кто-то пытался сказать, что он принимает угрозу: он наймет хорошего юриста, который докажет, что у него нет персональных данных. Закон защищает не сами ПДн, а права субъектов ПДн. Поэтому и угрозы и риски должны рассматриваться для субъекта.
5. Когда мы говорим об обезличивании ПДн, то это не освобождает нас от необходимости обеспечивать их целостность и доступность. (действительно, это согласуется со 149-ФЗ)

Музипов Фарит, CISA, CISM, CRISC
АО РОСЭКСИМБАНК
Председатель Правления НП "ПСИБ"

4

Re: Мероприятия по защите ПДн

Что касается проекта документа ФСТЭК - больше вопросов, чем ответов.
1. согласно ПП781 необходимо проверять соответствие требованиям, поскольку техрегламента нет и не будет - на встречи с Матюхиным это четко прозвучало, то остается только аттестация и/или сертификация.
2. более подробно отдельно напишу по проектам документов.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

5

Re: Мероприятия по защите ПДн

Farit Muzipov пишет:

- Информация выходит за пределы контролируемой зоны и нет возможности иным способом обеспечить ее защиту;

1. Смотрим соответствующие положения о лицензировании:
Настоящее Положение не распространяется на деятельность по ...:
...
шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей, не относящихся к критически важным объектам

В проекте приказа ФСТЭК еще более "лихо" написано wink

Farit Muzipov пишет:

- для обеспечения юридически значимого документооборота (ЭЦП - это СКЗИ).

В проекте закона об ЭЦП это уже меняют big_smile

6

Re: Мероприятия по защите ПДн

давайте проекты вынесем отдельно - проект 152-ФЗ и принятый 152-ФЗ это абсолютно два разных документа.
По ЭЦП - на Технологии Безопасности и ТК362 много говорилось об этом. Пока результата нет.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

7

Re: Мероприятия по защите ПДн

Farit Muzipov пишет:

2. Говорят, что после внесения изменений в закон вообще не нужно применять криптографию. Криптографию применять нужно если:
- Информация выходит за пределы контролируемой зоны и нет возможности иным способом обеспечить ее защиту;
- для обеспечения юридически значимого документооборота (ЭЦП - это СКЗИ).
- иные средства защиты не достаточны.

Криптографическую защиту применяют в тех случаях, когда другими методами и средствами невозможно обеспечить защиту

8

Re: Мероприятия по защите ПДн

to Igor:
Фарит про это и сказал.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

9

Re: Мероприятия по защите ПДн

Dmitry Leviev пишет:

to Igor:
Фарит про это и сказал.

)) я резюмировал