В документе подробно разъясняются неясные моменты, касающиеся приказа № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», который вступит в силу с 1 сентября, и приказа №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», который начал действовать со 2 июня.
Как сообщает эксперт проекта «Контур-Безопасность», CISSP Игорь Луканин, особое внимание необходимо обратить на несколько моментов:
– Оценку эффективности защитных мер. Согласно 21-му приказу, оценка эффективности мер по обеспечению безопасности персональных данных проводится не реже одного раза в три года. Сообщение разъясняет, что в случае, если оценка эффективности была проведена до 2 июня 2013 года, повторную оценку проводить не требуется. При этом в сообщении констатируется, что форма самой оценки и документов, разрабатываемых по ее результатам, законодательно не установлена и поэтому определяется самостоятельно оператором информационной системы.
– Сферу применения приказов. Сообщение указывает на то, что для обеспечения безопасности персональных данных при их обработке в государственных информационных системах достаточно руководствоваться только требованиями 17-го приказа. Таким образом, 17-й приказ применяется исключительно в отношении государственных информационных систем, 21-й — в отношении «частных», операторами которых являются организации, не относящиеся к государственным.
– Определение типов угроз безопасности персональных данных. В соответствии с постановлением Правительства РФ от 1 ноября 2012 г. № 1119 оператор самостоятельно определяет, к какому из трех типов относятся угрозы безопасности персональных данных, возникающие при их обработке в информационной системе оператора. При этом в настоящее время в ФСТЭК России завершается разработка методических документов, уточняющих содержание защитных мер и устанавливающих порядок моделирования угроз безопасности информации. Данные документы должны выйти в четвертом квартале 2013 года.
– Нейтрализацию особо опасных угроз безопасности персональных данных. Для снижения вероятности возникновения угроз безопасности персональных данных первого и второго типов по решению оператора могут применяться специальные меры: тестирование на проникновение и использование программного обеспечения, разработанного с использованием методов защищенного программирования. Порядок применения этих мер определяется оператором самостоятельно.
Также стоит отметить, что разъяснение требований, установленных постановлением Правительства РФ от 1 ноября 2012 г. № 1119, находится вне компетенции ФСТЭК России. Важным является тот факт, что в соответствии с требованиями постановления оператор должен определять типы угроз и уровни защищенности персональных данных при их обработке в информационной системе оператора. Это оказывает прямое влияние на набор защитных мер, которые должны быть реализованы в системе защиты персональных данных, а значит, и на стоимость ее создания и эксплуатации. В текущей ситуации оператор имеет некоторую свободу в определении типов угроз и уровней защищенности, что позволяет создать систему защиты персональных данных в рамках приемлемого бюджета (при наличии квалифицированного консультанта).