/* Variable definitions ==================== */ body { background: #ffffff; margin: 0; padding: 0px; font: x-small Verdana, Arial; text-align: center; color: #333333; font-size/* */:/**/small; font-size: /**/small; } a:link { color: #336699; } a:visited { color: #336699; } a img { border-width: 0; } #outer-wrapper { font: normal normal 100% Verdana, Arial, Sans-serif;; } /* Header ----------------------------------------------- */ #header-wrapper { margin:0; padding: 0; background-color: #c4e1ff; text-align: left; } #header { margin: 0; background-color: #c4e1ff; color: #003366; padding: 0; font: normal normal 210% Verdana, Arial, Sans-serif;; position: relative; } h1.title { padding-top: 38px; margin: 0 2% .1em; line-height: 1.2em; font-size: 100%; } h1.title a, h1.title a:visited { color: #003366; text-decoration: none; } #header .description { display: block; margin: 0 1%; padding: 0 0 40px; line-height: 1.4em; font-size: 50%; } /* Content ----------------------------------------------- */ .clear { clear: both; } #content-wrapper { margin: 0 2%; padding: 0 0 15px; text-align: left; background-color: #ffffff; border: 1px solid #ffffff; border-top: 0; } #main-wrapper { margin-left: 1%; width: 64%; float: left; background-color: #ffffff; display: inline; /* fix for doubling margin in IE */ word-wrap: break-word; /* fix for long text breaking sidebar float in IE */ overflow: hidden; /* fix for long non-text content breaking IE sidebar float */ } #sidebar-wrapper { margin-right: 1%; width: 29%; float: right; background-color: #ffffff; display: inline; /* fix for doubling margin in IE */ word-wrap: break-word; /* fix for long text breaking sidebar float in IE */ overflow: hidden; /* fix for long non-text content breaking IE sidebar float */ } /* Headings ----------------------------------------------- */ h2, h3 { margin: 0; } /* Posts ----------------------------------------------- */ .date-header { margin: 1.5em 0 0; font-weight: normal; color: #999999; font-size: 100%; } .post { margin: 0 0 1.5em; padding-bottom: 1.5em; } .post-title { margin: 0; padding: 0; font-size: 125%; font-weight: bold; line-height: 1.1em; } .post-title a, .post-title a:visited, .post-title strong { text-decoration: none; color: #333333; font-weight: bold; } .post div { margin: 0 0 .75em; line-height: 1.3em; } .post-footer { margin: -.25em 0 0; color: #333333; font-size: 87%; } .post-footer .span { margin-right: .3em; } .post img { padding: 4px; border: 1px solid #ffffff; } .post blockquote { margin: 1em 20px; } .post blockquote p { margin: .75em 0; } /* Added*/
Read more!
/* Comments ----------------------------------------------- */ #comments h4 { margin: 1em 0; color: #999999; } #comments h4 strong { font-size: 110%; } #comments-block { margin: 1em 0 1.5em; line-height: 1.3em; } #comments-block dt { margin: .5em 0; } #comments-block dd { margin: .25em 0 0; } #comments-block dd.comment-footer { margin: -.25em 0 2em; line-height: 1.4em; font-size: 78%; } #comments-block dd p { margin: 0 0 .75em; } .deleted-comment { font-style:italic; color:gray; } .feed-links { clear: both; line-height: 2.5em; } #blog-pager-newer-link { float: left; } #blog-pager-older-link { float: right; } #blog-pager { text-align: center; } /* Sidebar Content ----------------------------------------------- */ .sidebar h2 { margin: 1.6em 0 .5em; padding: 4px 5px; background-color: #ffcc66; font-size: 100%; color: #333333; } .sidebar ul { margin: 0; padding: 0; list-style: none; } .sidebar li { margin: 0; padding-top: 0; padding-right: 0; padding-bottom: .5em; padding-left: 15px; text-indent: -15px; line-height: 1.5em; } .sidebar { color: #333333; line-height:1.3em; } .sidebar .widget { margin-bottom: 1em; } .sidebar .widget-content { margin: 0 5px; } /* Profile ----------------------------------------------- */ .profile-img { float: left; margin-top: 0; margin-right: 5px; margin-bottom: 5px; margin-left: 0; padding: 4px; border: 1px solid #ffffff; } .profile-data { margin:0; text-transform:uppercase; letter-spacing:.1em; font-weight: bold; line-height: 1.6em; font-size: 78%; } .profile-datablock { margin:.5em 0 .5em; } .profile-textblock { margin: 0.5em 0; line-height: 1.6em; } /* Footer ----------------------------------------------- */ #footer { clear: both; text-align: center; color: #333333; } #footer .widget { margin:.5em; padding-top: 20px; font-size: 85%; line-height: 1.5em; text-align: left; } /** Page structure tweaks for layout editor wireframe */ body#layout #header { width: 750px; } -->

вторник, 26 июля 2011 г.

Изменения в ФЗ «О персональных данных»

Как сообщает kremlin.ru, президент подписал Федеральный закон «О внесении изменений в Федеральный закон «О персональных данных».



Федеральный закон принят Государственной Думой 5 июля 2011 года и одобрен Советом Федерации 13 июля 2011 года.



Федеральным законом уточняются сфера действия Федерального закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных. Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер по обеспечению безопасности персональных данных при их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.

пятница, 1 июля 2011 г.

Вступил в силу Закон № 152-ФЗ

C сегодняшнего дня окончательно вступают в силу требования Федерального закона №152-ФЗ «О персональных данных». Начиная с 01.07.2011 все юридические лица должны обеспечивать безопасность персональных данных при их обработке в информационных системах с использованием технических средств защиты информации.

четверг, 26 мая 2011 г.

К вопросу применимости СТР-К для определения требований к защите персональных данных в государственных ИСПДн

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) – нормативно-методический документ Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ).
Чтобы определить правовой статус данного документа, обратимся к Федеральному закону от 27.12.2002 N 184-ФЗ "О техническом регулировании".

Ст. 3., п. 3. Федеральные органы исполнительной власти (к которым относится ФСТЭК РФ) вправе издавать в сфере технического регулирования акты только рекомендательного характера, за исключением случаев, установленных статьями 5 и 9.1 настоящего Федерального закона.

Ст. 5. Особенности технического регулирования в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения указанной продукции и указанных объектов.

Очевидно, что рассматриваемая ситуация подпадает под действие Статьи 5 Федерального закона от 27.12.2002 N 184-ФЗ "О техническом регулировании", т.к. персональные данные относятся к информации ограниченного доступа в соответствии с Федеральным законом N 152-ФЗ от 27.07.2006 «О персональных данных».

Таким образом, СТР-К является обязательным к исполнению нормативным актом.
Рассмотрим область применения СТР-К.

Ст. 2.3. Цитата взята из открытых источников
Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и специальных воздействий на информацию в целях ее уничтожения, искажения, блокирования.

Что в понятии законодателя является государственным информационным ресурсом? Обратимся к Федеральному закону N 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», являющемуся основополагающим нормативным актом в области информационных технологий.

В документе обозначен переход от понятия государственная информационная система (ГИС) к понятию государственный информационный ресурс (ГИР).

Ст. 13. п. 1. Информационные системы включают в себя:
1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.

Ст. 15. п.9 Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами.

Что касается п.п. 3 п.1 статьи 3 «иные информационные системы», то следует обратиться к постатейному комментарию к Федеральному закону от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" А.Н. Королева и О.В. Плешаковой. Из комментариев следует, что под иными информационными системами Законодатель подразумевает системы, операторами которых являются таможенные органы.

Исходя из вышеизложенного, следует, что СТР-К применимы к государственным информационным системам (муниципальным информационным системам), которые созданы на основании законов или иных правовых актов.

Кроме того, очевидно, что после вступления в силу Федерального закона N 152-ФЗ от 27.07.2006 «О персональных данных», персональные данные выделаются в отдельный пласт защищаемой информаций со своей нормативной базой. Следовательно, документами, определяющими требования к защите некриптографическими методами персональных данных в ИСПДн, являются подзаконные акты данного закона, а именно:
- Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
- Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».
- Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК 15.02.2008 г.
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК 15.02.2008 г.

Вывод: в подавляющем большинстве случаев для определения требований к защите некриптографическими методами персональных данных в государственных ИСПДн СТР-К неприменимы. Однако в случае, если информационная система создана на основании правового акта государственного органа, то выполнение СТР-К обязательно.
Требования по выполнению требований СТР-К применительно к информационным системам, в установленном порядке не признанными государственными в соответствии с Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", в том числе по проведению аттестации ИСПДн, по состоянию на 26.05.2011, необоснованны и носят РЕКОМЕНДАТЕЛЬНЫЙ характер.