Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Персональные данные

    Что такое сертификация? Речь идет о сертификации СЗИ (средств защиты информации) или информационной системы, обрабатывающей персональные данные?

    1. Согласно ст. 2 Федерального закона от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» сертификация – это форма осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов или условиям договоров (а также требованиям, устанавливаемых уполномоченными органами государственной власти).

    В соответствии с п. 5 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781) средства защиты информации (СЗИ), применяемые в информационных системах обработки персональных данных, в должны проходить в установленном порядке процедуру оценки соответствия.

    Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» установлены два метода оценки соответствия: сертификация и декларирование соответствия.

    В настоящее время порядок сертификации СЗИ в системе сертификации ФСТЭК России установлен «Положением о сертификации средств защиты информации по требованиям безопасности информации» (утверждено приказом Гостехкомиссии России от 27 октября 1995 г. № 199). Процедура оценки соответствия методом декларирования ФСТЭК России будет разработана и введена в действие ориентировочно в конце 2008 г.

    2. В РД по защите персональных данных речь идёт о:

    • оценке соответствия СЗИ (или путём сертификации или декларирования о соответствии);
    • сертификации системы защиты информационной системы, обрабатывающей ПДн, на соответствие заданию по безопасности или профилю защиты (в случае если ЗБ или ПЗ для ИС разрабатывались в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-2002 и соответствующих РД ФСТЭК России).

    Насколько дороже и сложнее построить систему защиты для класса К1, чем для класса К2?

    Так как система защиты для ИС класса К1 должна реализовывать необходимые меры защиты ПДн в большем объёме (см. ответ по п. 9) (т.е. система защиты будет более сложной), то и её стоимость будет выше.

    Конкретную стоимость работ можно обосновать только после проведения обследования состояния защищённости ИС и моделирования угроз.

    Последовательность шагов Оператора персональных данных по выполнению требований Федерального закона 2006 г. № 152 «О персональных данных»?

    Для выполнения требований Федерального закона 2006 г. № 152 «О персональных данных» оператор персональных данных должен выполнить следующие мероприятия:

    1. провести инвентаризацию ИР, обрабатываемых в ИС, и определить перечень ПДн;
    2. урегулировать правовые вопросы обработки (использования) ПДн (уточнение правовых оснований обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установление сроков обработки ПДн и др.);
    3. оформить и направить в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомление об обработке ПДн;
    4. разработать модель угроз (на основании результатов обследования ИС);
    5. провести классификацию ИС с оформлением соответствующего акта;
    6. получить (при необходимости) лицензию на деятельность по ТЗИ (согласно постановлению Правительства РФ 2006 г. № 504);
    7. определить требования по защите ПДн при их обработке в ИС ПДн в соответствии с присвоенным классом и результатами моделирования;
    8. осуществить проектирование СОБИ;
    9. реализовать проект на создание СОБИ;
    10. провести оценку соответствия ИС ПДн требованиям безопасности согласно присвоенному классу.
    11. организовать эксплуатацию ИС в соответствии с требованиями безопасности и контроль соблюдения условий использования СЗИ.

    Каков общий порядок действий компании по организации соответствия своей правовой деятельности требованиям документов ФСТЭК по защите ПДн, правовые, юридические вопросы, в частности: порядок перезаключения договоров на использование ПДн сотрудников?

    Руководящие документы ФСТЭК России распространяются только на вопросы технической защиты персональных данных при их автоматизированной обработке в ИСПДн.

    Поэтому правовые вопросы порядка получения и использования персональных данных должны решаться в соответствии с Федеральным законом 2006 г. № 152 ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, другими нормативными правовыми актами по этому вопросу.

    Кто ответственен за разглашение переданных персональных данных 3-ей стороне, Оператор ПДн или 3-я сторона, где и как это должно быть определено?

    Как указано в ответе на 2-й вопрос, передача персональных данных третьим лицам согласно ч. 4 ст. 6 ФЗ «О персональных данных» может осуществляться только на основании договора, в котором в том числе должна быть предусмотрена ответственность за нарушение требований законодательства по обеспечению безопасности персональных данных. В этом случае ответственность за разглашение переданных 3-му лицу персональных данных будет нести это лицо.

    Обязательно ли использовать в информационных системах персональных данных (ИСПДн) общесистемное ПО, сертифицированное по требованиям ФСТЭК России?

    В том случае, если встроенные средства безопасности общесистемного ПО заявлены в ИСПДн как средства защиты, такое ПО должно быть сертифицировано по требованиям ФСТЭК России.

    Если же используется стороннее ПО (СЗИ), реализующее функции защиты ПДн, тогда такой сертификации общесистемного ПО не требуется.

    Каким образом должны удаляться персональные данные после их использования?

    Здесь необходимо привести ссылку на ч. 4 ст. 21 ФЗ «О персональных данных», которая устанавливает: «В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган».

    В настоящее время порядок уничтожения персональных данных никакими нормативными документами не регламентирован. С учётом этого мы рекомендуем факт уничтожения персональных данных оформлять внутренним актом оператора, в котором должно указываться какие персональные данные, когда, кем и каким образом были уничтожены. Кроме того, рекомендуем формальную процедуру уничтожения персональных данных прописать отдельным разделом в разрабатываемом оператором внутреннем Положении об обработке персональных данных.

    Правильно ли я понимаю, что алгоритмы Электронной подписи (ЭП) с открытыми ключами всегда работают через Удостоверяющие центры (УЦ)?
    Нет, это не так. Средства формирования ЭП стоят на Вашем компьютере и все операции по подписанию документа проводятся именно у Вас на компьютере. Получив подписанное Вами сообщение Ваш визави либо с использованием автоматических средств, которые обращаются по указанному в сертификате адресу сервера УЦ и сверяют: действует ли ваша подпись, и потом на Вашем компьютере проводят необходимые преобразования для проверки подлинности подписи (так, к примеру действует браузер Explorer), либо может обратиться в УЦ и там ему проверят подлинность. Главная роль УЦ в этой процедуре – обеспечить открытый доступ каждому к серверу, где хранятся действующие открытые ключи и сведения об отозванных сертификатах (как правило, это делается через Интернет). Так что бояться нечего: вся переписка через УЦ не идет и мощностей хватит.
    Что будет если класс выбран неверно и проверка надзорных органов это выявит? Есть ли отличие последствий для К1, К2, К3 классов?

    1. В соответствии с п. 19 «Порядка проведения классификации информационных систем персональных данных» (совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20) класс информационной системы может быть пересмотрен по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе. Правом проведения контроля в этом случае обладают ФСТЭК России и ФСБ России. Если в ходе проверки будет установлено, что класс ИСПДн занижен, то скорее всего надзорный орган потребует приведения его в соответствие с реальным состоянием ИСПДн. Порядок проведения государственного контроля и надзора будет установлен специальным документом - «Порядком осуществления контроля и надзора за соблюдением требований законодательства РФ в области защиты персональных данных», который будет утверждаться совместным приказом Минкомсвязи, ФСБ России и ФСТЭК России. Ориентировочный срок принятия этого документа – 3-4 квартал 2009 г.
    2. Никакой разницы для ИСПДн классов К1, К2, К3 нет.

    В соответствии со статьей 22 пункт 2 оператор персональных данных не обязан уведомлять надзорные органы, следовательно он не подлежит проверкам?

    Абсолютно неверное трактование этого положения. Согласно ст.23 ФЗ «О персональных данных» надзорный орган (Роскомнадзор) на основании жалоб и обращений граждан или юридических лиц имеет право проверять любого оператора персональных данных независимо от того, уведомил ли он этот орган о своём намерении осуществлять обработку ПДн или нет.