| Статистика |
Онлайн всего: 1 Гостей: 1 Пользователей: 0 |
|
Главная » 2012 » Ноябрь » 15 » "Медведевские" требования невыполнимы
11:25 "Медведевские" требования невыполнимы |
 Новые нормативы по безопасности при обработке персональных данных противоречат федеральному законодательству, вводят неоднозначную терминологию, и в целом невыполнимы, уверены эксперты.
Эксперты по информационной безопасности без энтузиазма встретили подписание Дмитрием Медведевым новых нормативов обработки персональных данных, содержащихся в постановлении главы правительства носит №1119.
Управляющий партнёр агентства «Емельянников, Попова и партнёры» Михаил Емельянников напоминает, что постановление №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» содержит «характерные для последних регламентирующих документов в области информационной безопасности вообще и персональных данных в частности проблемы и недостатки».
Оно активно критиковалось специалистами-практиками ещё на этапах подготовки документа, обсуждения и оценки регулирующего воздействия, однако, мнение профессионалов так и не было услышано, сожалеет эксперт.
Напомним, что постановление №1119 было подписано Дмитрием Медведевым 1 ноября 2012 г.
«Содержание постановления не соответствует требованиям ФЗ «О персональных данных», - говорит эксперт. Этот закон поручал правительству установить уровни защищённости персональных данных при их обработке в информационных системах и требования, исполнение которых обеспечивает установленные уровни защищённости, в том числе с учётом возможного вреда субъекту персональных данных, объёма и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которой обрабатываются персональные данные, актуальности угроз безопасности персональных данных. Однако, в постановлении не указаны способы и порядок учёта возможного вреда субъекту и вида деятельности оператора при реализации защитных мер. Эта работа перекладывается на самого оператора, у которого, как правило, для этого нет ни специалистов, ни должного понимания вопроса.
Массу вопросов вызывает используемая в «Требованиях» классификация возможных типов угроз безопасности в зависимости от наличия недекларированных возможностей (НДВ) в системном и прикладном программном обеспечении. При этом никаких требований к сертификации операционных систем и приложений, обрабатывающих персональные данные, ни в постановлении, ни в других нормативных актах не выдвигается, а средства защиты информации, даже и прошедшие оценку соответствия в форме обязательной сертификации, угрозы использования злоумышленником недекларированных возможностей (НДВ) никак не нейтрализуют и нейтрализовать не могут. В чём тогда смысл выделения именно этих типов угроз и как с ними бороться, остаётся непонятным, удивляется Емельянников.
Само понятие недекларированных возможностей для абсолютного большинства операторов является непонятным, и совершенно неясно, как они будут самостоятельно оценивать актуальность для себя подобных угроз. Сомнительным представляется радикальное влияние на безопасность персональных данных таких предлагаемых постановлением мер, как назначение должностного лица или создание структурного подразделения, ответственных за обеспечение безопасности персональных данных в информационной системе. Как это скажется на возможности нейтрализации угроз использования недекларированных возможностей операционных систем и приложений, по мнению эксперта, совершенно не ясно.
«Требования оперируют терминами, определения которых отсутствуют. Так, непонятно, что подразумевается под электронным журналом сообщений (п.15 требований) и электронным журналом безопасности (п.16 требований). Это одни и те же журналы или разные? Если речь идёт о логах, то о каких – операционной системы, приложений, средств защиты информации? Всех или части из них? Ответов на эти вопросы в документе нет», - продолжает Емельянников.
Не используется в российском законодательстве, в том числе в трудовом, термин «сотрудники оператора», Постановлением это понятие вводится, но не даётся его определение.
Постановление вводит отсутствующее в законе 152-ФЗ понятие «общедоступные персональные данные», к тому же сводящие их только к указанным в ст.8 (общедоступные источники). Сведения, подлежащие опубликованию и обязательному раскрытию, под эту категорию не подпадают, как и сведения из ЕГРЮЛ и ЕГРИП, являющиеся общедоступными в соответствии с Федеральным законом о государственной регистрации юрлиц и индивидуальных предпринимателей. Как быть с ними, опять остаётся неясным.
Ранее ИБ-эксперт Алексей Лукацкий в своём блоге выражал тревогу, что при соблюдении буквы постановления становится незаконным использование мобильных устройств для персональных данных: даже для минимального уровня защищённости постановление устанавливает режим безопасности, при котором планшет с персональными данными должен находиться в помещении, куда посторонние не имеют доступа.
Таким образом, становится невозможным использование планшетов и других мобильных устройств сотрудниками ГИБДД, таможенниками или врачами, работающими вне особых особо охраняемых помещений. Кроме того, под вопросом оказывается возможность организации точек продаж в торговых или дилерских центрах, то есть вне офиса организации, где она могла бы обеспечить предписываемый законом уровень защищённости персональных данных.
«Не могу не согласиться с Алексеем Лукацким в том, что «Требования» фактически запрещают использовать для обработки персональных данных мобильные устройства вне контролируемой оператором территории», - говорит Михаил Емельянников.
Документ содержит обязательное для всех уровней защищённости требование о таком режиме безопасности помещений, в которых размещена информационная система, при котором невозможно проникновение или пребывание в них посторонних лиц. Между тем любой современный мобильный телефон или коммуникатор – это уже информационная система персональных данных, не говоря уже о планшетах
и ноутбуках, замечает эксперт.
Наконец, говорит эксперт, постановление сможет заработать в полном объёме только после принятия соответствующих актов ФСБ, ФСТЭК, предусмотренных ч.4 ст.19 152-ФЗ, а также федеральными органами исполнительной власти, осуществляющими функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органов государственной власти субъектов Российской Федерации, Банка России, органов государственных внебюджетных фондов, иных государственных органов в части определения актуальных угроз безопасности персональных данных (ч.5 ст.19 152-ФЗ, п.2 Требований), которые отсутствуют и неизвестно когда будут приняты.
До принятия дополнительных актов оператору персональных данных практически невозможно выполнить требования, установленные постановлением №1119, резюмирует эксперт.
Исправлено ошибок - 18
Источник - http://digest.subscribe.ru
|
|
Просмотров: 1222 |
Добавил: Фомичёв
| Рейтинг: 0.0/0 |
|
|
Добавлять комментарии могут только зарегистрированные пользователи. [ Регистрация | Вход ]
|
|
