вторник, 4 июня 2013 г.

ЗПДн. И снова про Информационное сообщение ФСТЭК от 20 ноября 2012 г. № 240/24/4669

Ниже речь пойдет об информационном сообщении ФСТЭК «Об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных» от 20 ноября  2012 г. № 240/24/4669, а точнее об одном из его пунктов, а именно о:
 «Предполагается, что нормативный правовой акт ФСТЭК России, устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, будет применяться к информационным системам персональных данных, для которых решение о создании системы защиты информации будет принято после вступления в силу указанного нормативного правового акта».
Как только данное письмо вышло в свет – все обрадовались, что те система защиты ПДн, которые уже созданы или создаются (информационные системы, решение о создании системы защиты информации которых было принято до вступления в силу Приказа ФСТЭК №21) – можно эксплуатировать/создавать по требованиям Приказа ФСТЭК №58, но только тогда не были учтены следующие факторы:
  •  слово «предполагается» нам говорит о том, что может быть так будет, а может быть и нет…
  • в проекте приказа ФСТЭК №21 была фраза «Установить, что настоящий приказ применяется для обеспечения безопасности персональных данный во вновь создаваемых (модернизируемых) информационных системах персональных данных», но в утвержденной версии Приказа данная фраза отсутствует…

Да и в базе «Консультант+» данное письмо отсутствует, что ставит под большой вопрос его юридический статус.

Собственно, учитывая вышесказанное, Приказ ФСТЭК №21 и его требования – «нам в помощь»…

5 комментариев:

  1. Я уже писал, но повторюсь. А как насчет обратной силы нормативно-правовых актов? Не могут нормативные требования распространяться на прошлое, если только это специально не оговорено.

    ОтветитьУдалить
  2. Анонимный5 июня 2013 г., 10:17

    Михаил, а почему Вы считаете что обработка сегодня - обратная сила? К тому как защищали в прошлом году претензий вроде никто не предъявляет. У меня мнение аналогичное изложенному.
    Сергей Солодовников

    ОтветитьУдалить
  3. Мы можем конечно рассмотреть следующий вариант:
    1. Вы разработали и внедрили СЗПДн до вступления в силу 261-ФЗ "О внесении изменений в ФЗ о "ПДн" от 25.07.2011, где заменили классы ИСПДн на уровни защищенности... и вы хотите сказать, что с тех пор изменения в СЗПДн не вносились?
    2. Либо другой вариант - вы разработали и внедрили СЗПДн после 25.07.2011, но ведь тогда вы должны были бы в документах прописывать требования в уровням защищенности, которых не было...
    Можно долго этот вопрос рассматривать с разных сторон, но свою правоту, в случае чего, Вы сможете попробовать доказать только в суде :)

    ОтветитьУдалить
  4. Согласен, об уровнях защищенности пошла речь с 261-ФЗ, но технические требования на тот момент разработаны не были. Согласно судебной практики субъекты должны ориентироваться на нормативную базу, действующую к моменту начала деятельности (в данном случае - начале создания СЗИ), до декабря 2012 вся нормативка по техтребованиям, которые и составляли бы предмет судебных разбирательств, ограничивалась 55 и 58 приказами ФСТЭК. Поэтому, если дело до суда и дошло бы по претензиям о выстраивании защиты по старым приказам, то свою позицию в данном случае рассматриваю как достаточно сильную.

    ОтветитьУдалить
  5. Кроме того, вы забываете, что все неоднозначности в законодательстве всегда трактуются в пользу субъектов, это тоже один из принципов юриспруденции, потому апелировать к 261-ФЗ в отсутствии техтребований к вводимому им понятию уровней весьма проблематично

    ОтветитьУдалить