четверг, 26 мая 2011 г.
К вопросу применимости СТР-К для определения требований к защите персональных данных в государственных ИСПДн
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) – нормативно-методический документ Федеральной службы по техническому и экспортному контролю Российской Федерации (ФСТЭК РФ).
Чтобы определить правовой статус данного документа, обратимся к Федеральному закону от 27.12.2002 N 184-ФЗ "О техническом регулировании".
Ст. 3., п. 3. Федеральные органы исполнительной власти (к которым относится ФСТЭК РФ) вправе издавать в сфере технического регулирования акты только рекомендательного характера, за исключением случаев, установленных статьями 5 и 9.1 настоящего Федерального закона.
Ст. 5. Особенности технического регулирования в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения указанной продукции и указанных объектов.
Очевидно, что рассматриваемая ситуация подпадает под действие Статьи 5 Федерального закона от 27.12.2002 N 184-ФЗ "О техническом регулировании", т.к. персональные данные относятся к информации ограниченного доступа в соответствии с Федеральным законом N 152-ФЗ от 27.07.2006 «О персональных данных».
Таким образом, СТР-К является обязательным к исполнению нормативным актом.
Рассмотрим область применения СТР-К.
Ст. 2.3. Цитата взята из открытых источников
Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и специальных воздействий на информацию в целях ее уничтожения, искажения, блокирования.
Что в понятии законодателя является государственным информационным ресурсом? Обратимся к Федеральному закону N 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», являющемуся основополагающим нормативным актом в области информационных технологий.
В документе обозначен переход от понятия государственная информационная система (ГИС) к понятию государственный информационный ресурс (ГИР).
Ст. 13. п. 1. Информационные системы включают в себя:
1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.
Ст. 15. п.9 Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами.
Что касается п.п. 3 п.1 статьи 3 «иные информационные системы», то следует обратиться к постатейному комментарию к Федеральному закону от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" А.Н. Королева и О.В. Плешаковой. Из комментариев следует, что под иными информационными системами Законодатель подразумевает системы, операторами которых являются таможенные органы.
Исходя из вышеизложенного, следует, что СТР-К применимы к государственным информационным системам (муниципальным информационным системам), которые созданы на основании законов или иных правовых актов.
Кроме того, очевидно, что после вступления в силу Федерального закона N 152-ФЗ от 27.07.2006 «О персональных данных», персональные данные выделаются в отдельный пласт защищаемой информаций со своей нормативной базой. Следовательно, документами, определяющими требования к защите некриптографическими методами персональных данных в ИСПДн, являются подзаконные акты данного закона, а именно:
- Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
- Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».
- Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК 15.02.2008 г.
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК 15.02.2008 г.
Вывод: в подавляющем большинстве случаев для определения требований к защите некриптографическими методами персональных данных в государственных ИСПДн СТР-К неприменимы. Однако в случае, если информационная система создана на основании правового акта государственного органа, то выполнение СТР-К обязательно.
Требования по выполнению требований СТР-К применительно к информационным системам, в установленном порядке не признанными государственными в соответствии с Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", в том числе по проведению аттестации ИСПДн, по состоянию на 26.05.2011, необоснованны и носят РЕКОМЕНДАТЕЛЬНЫЙ характер.
Чтобы определить правовой статус данного документа, обратимся к Федеральному закону от 27.12.2002 N 184-ФЗ "О техническом регулировании".
Ст. 3., п. 3. Федеральные органы исполнительной власти (к которым относится ФСТЭК РФ) вправе издавать в сфере технического регулирования акты только рекомендательного характера, за исключением случаев, установленных статьями 5 и 9.1 настоящего Федерального закона.
Ст. 5. Особенности технического регулирования в отношении оборонной продукции (работ, услуг), поставляемой по государственному оборонному заказу, продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции (работ, услуг), сведения о которой составляют государственную тайну, продукции (работ, услуг) и объектов, для которых устанавливаются требования, связанные с обеспечением ядерной и радиационной безопасности в области использования атомной энергии, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения указанной продукции и указанных объектов.
Очевидно, что рассматриваемая ситуация подпадает под действие Статьи 5 Федерального закона от 27.12.2002 N 184-ФЗ "О техническом регулировании", т.к. персональные данные относятся к информации ограниченного доступа в соответствии с Федеральным законом N 152-ФЗ от 27.07.2006 «О персональных данных».
Таким образом, СТР-К является обязательным к исполнению нормативным актом.
Рассмотрим область применения СТР-К.
Ст. 2.3. Цитата взята из открытых источников
Требования и рекомендации настоящего документа распространяются на защиту государственных информационных ресурсов некриптографическими методами, направленными на предотвращение утечки защищаемой информации по техническим каналам, от несанкционированного доступа к ней и специальных воздействий на информацию в целях ее уничтожения, искажения, блокирования.
Что в понятии законодателя является государственным информационным ресурсом? Обратимся к Федеральному закону N 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», являющемуся основополагающим нормативным актом в области информационных технологий.
В документе обозначен переход от понятия государственная информационная система (ГИС) к понятию государственный информационный ресурс (ГИР).
Ст. 13. п. 1. Информационные системы включают в себя:
1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.
Ст. 15. п.9 Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами.
Что касается п.п. 3 п.1 статьи 3 «иные информационные системы», то следует обратиться к постатейному комментарию к Федеральному закону от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" А.Н. Королева и О.В. Плешаковой. Из комментариев следует, что под иными информационными системами Законодатель подразумевает системы, операторами которых являются таможенные органы.
Исходя из вышеизложенного, следует, что СТР-К применимы к государственным информационным системам (муниципальным информационным системам), которые созданы на основании законов или иных правовых актов.
Кроме того, очевидно, что после вступления в силу Федерального закона N 152-ФЗ от 27.07.2006 «О персональных данных», персональные данные выделаются в отдельный пласт защищаемой информаций со своей нормативной базой. Следовательно, документами, определяющими требования к защите некриптографическими методами персональных данных в ИСПДн, являются подзаконные акты данного закона, а именно:
- Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
- Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».
- Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных».
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК 15.02.2008 г.
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена ФСТЭК 15.02.2008 г.
Вывод: в подавляющем большинстве случаев для определения требований к защите некриптографическими методами персональных данных в государственных ИСПДн СТР-К неприменимы. Однако в случае, если информационная система создана на основании правового акта государственного органа, то выполнение СТР-К обязательно.
Требования по выполнению требований СТР-К применительно к информационным системам, в установленном порядке не признанными государственными в соответствии с Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", в том числе по проведению аттестации ИСПДн, по состоянию на 26.05.2011, необоснованны и носят РЕКОМЕНДАТЕЛЬНЫЙ характер.
Подписаться на:
Сообщения (Atom)