Приказ ФСТЭК России от 18 февраля 2013 №21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" после долгого согласования зарегистрирован в Минюсте.
Новый приказ отменяет ранее действующий Приказ ФСТЭК России от 5 февраля 2010 г. N 58 "Положение о методах и способах защиты информации в информационных системах персональных данных" и устанавливает состав, содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Приказ вышел в развитие "Требований к защите персональных данных при их обработке в информационных системах персональных данных" (утверждённых постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119), тем самым сняв массу накопившихся вопросов профессионального сообщества.
Действие приказа не распространяется на ИСПДн, функционирующие в рамках Государственных информационных систем (ГИС). Меры по обеспечению безопасности ПДн при их обработке в ГИС принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах (Приказ ФСТЭК № 17 от 12.02.2013 г., в настоящий момент еще не опубликован).
Документ устанавливает принципиально новый подход к защите ПДн, базирующийся на лучших отечественных и международных практиках, учитывая природу ПДн, технологию обработки, риски, экономическую эффективность, а главное дает возможность оператору самостоятельно выбирать оптимальный и адекватный комплекс технических и организационных мер защиты.
В частности:
- Принципиально изменился подход к выбору мер защиты. Теперь оператор (или лицо, осуществляющее обработку персональных данных по поручению оператора), исходя из модели угроз, самостоятельно вправе определять состав технических и организационных мер.
- Появилась возможность адаптации мер защиты к условиям обработки ПДн и используемым информационным технологиям. Используется понятие "экономической целесообразности" использования мер защиты.
- Появилась возможность использования компенсирующих мер взамен базовых, определённых настоящим приказом, в следующих случаях:
- при использовании новых информационных технологий или выявлении дополнительных угроз безопасности ПДн, для которых не определены меры обеспечения их безопасности,
- при невозможности технической реализации базовых мер с учетом их экономической целесообразности,
- Существенно расширился и актуализировался перечень мер защиты. Приказ предусматривает 109 различных мер разбитых на 14 групп (подсистем защиты).
- Приведено соответствие применяемых классов сертифицированных средств уровням защищенности ИСПДн.
- Определена периодичность оценки эффективности реализованных мер (один раз в три года).
- Разрешена самостоятельная оценка эффективности реализованных мер защиты и многое другое.
С точки зрения нашей компании, новый Приказ должен существенно снизить затраты на построение системы защиты персональных данных и упростить процедуру оценки соответствия принятых мер. Прежде всего, этому будет способствовать возможность построения системы защиты исходя из реальных угроз и обосновав неактуальность угроз 1 и 2 типа, связанных с наличием НДВ, или применив компенсирующие меры. Такой подход существенно расширяет область применения сертифицированных продуктов Microsoft в качестве основных СЗИ от НСД. В случае ИСПДн 3 и 4 уровня защищенности (для угроз 3 типа) система защиты в большинстве случаев может быть ПОЛНОСТЬЮ построена с использованием встроенных механизмов защиты сертифицированных программных продуктов Microsoft, не задействуя наложенные СЗИ сторонних производителей.
С текстом Приказа можно ознакомиться на нашем сайте или сайте ФСТЭК России.
