Обязательно ли выполнять все меры защиты ПДн, указанные в части 2 статьи 19 152-ФЗ?

Question

[kira_clover]

Как-то всегда было принято, что нужно покрыть все пункты закона о персональных данных в части их защиты, но недавно в законе появилась новая мера защиты (пункт 3.1 части 2 статьи 19 152-ФЗ), а именно:
Обеспечение безопасности персональных данных достигается, в частности:
3.1) применением для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;

Есть у кого-нибудь мысли:
1. Для каких операторов это обязательно?
2. Имеются ли сертифицированные шредеры или иные уничтожители бумаг?)))
3. Значит ли это, что разработчикам программного обеспечения, которое обрабатывает персональные данные в своих базах данных, необходимо организовать интеграцию со средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия, или проводить такую процедуру со своим программным обеспечением?

Answer 1

[kira_clover]

Спустя 2 месяца, из 6 ответных писем от гос структур только 1 дельное. По крайней мере видно, что они отнеслись к вопросам серьезно и реально разъяснили, имеющуюся ситуацию.

Полный текст ответа скину в комментарии

Короткий перевод:

1. Состав и содержание мер определены приказом ФСТЭК №21 от 18.02.2013.
Для чего применяются меры защиты
Безопасность персональных данных обеспечивается оператором
Определение оператора персональных данных
Требования к мерам защиты съемных машинных носителей (указали единственное в НПА, что касается требований к уничтожению).
Упоминают меры защиты для ГИСов, утв ФСТЭК 11.02.2014. Рекомендуют, по желанию, ПДн защищать так же
2. Рассказывают про сертификацию СЗИ
Рекламируют reestr.fstec.ru, приводят в пример 3 СЗИ для уничтожении информации со съемных машинных носителей

Требования по безопасности информации к средствам, предназначенным для уничтожения бумажных носителей информации, ФСТЭК России не определены.

Рассказывают, как уничтожают бумаги Архивные фонды (с помощью шредеров)
Напоминают про необходимость составления актов уничтожения информации
3.

Порядок интеграции программного обеспечения, предназначенного для обработки персональных данных, со средствами защиты информации, прошедшими процедуру оценки соответствия, а также требования к проведению такой процедуры с указанным программным обеспечением, ФСТЭК России не определены.

Оценка - 10/10
Если б могла, еще б чаевые оставила

Если появиться еще информация - добавлю сюда

Comments

[kira_clover]

Полный текст ответа

В своем обращении Вы просите разъяснить:
для каких операторов обязательно применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, имеющих функцию уничтожения информации, для уничтожения персональных данных;
имеются ли в Российской Федерации прошедшие процедуру оценки соответствия средства уничтожения материальных (бумажных) носителей информации;
необходимо ли разработчикам программного обеспечения, предназначенного для обработки персональных данных, организовать интеграцию со средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия, и (или) проводить такую процедуру с данным программным обеспечением.
По результатам рассмотрения обращения сообщаю следующее.
В соответствии с Положением об Управлении Федеральной службы по техническому и экспортному контролю по Сибирскому федеральному округу, утвержденным приказом Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) от 5 февраля 2018 г. № 18дсп, Управление является территориальным органом ФСТЭК России межрегионального уровня, обеспечивающим в пределах своей компетенции реализацию полномочий ФСТЭК России в Сибирском федеральном округе. В соответствии 1 Положения с пунктом о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (далее - Указ № 1085), ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации (техническая защита информации).
1. В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - 152-ФЗ) ФСТЭК России разработаны и утверждены приказом от 18 февраля 2013 г. № 21 состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - Приказ № 21).
Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Безопасность персональных данных при их обработке в информационной системе персональных данных обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.
В соответствии со статьей 3 152-ФЗ оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В соответствии с пунктом 8.4 Приказа № 21 меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
В соответствии с приложением 1 к Приказу № 21 меры по защите машинных носителей персональных данных включают уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания (ЗНИ.8).
Требования к реализации указанной меры по защите информации содержатся в методическом документе «Меры защиты информации в государственных информационных системах», утвержденном ФСТЭК России 11 февраля 2014 г. По решению оператора персональных данных настоящий методический документ применяется для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Приказом № 21.
Мера ЗНИ. 8 подлежит реализации операторами персональных данных в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, в информационных системах персональных данных, в которых в соответствии с указанными требованиями установлена необходимость обеспечения 1-го, 2-го или 3-го уровня защищенности персональных данных.
2. Приказом ФСТЭК России от 3 апреля 2018 г. № 55 утверждено Положение о системе сертификации средств защиты информации, определяющее состав участников системы сертификации средств защиты информации, создаваемой ФСТЭК России в соответствии с пунктом 1 Положения о сертификации средств защиты информации, утвержденного постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608, а также организацию и порядок сертификации продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, являющейся государственным информационным ресурсом и (или)
персональными данными, продукции, сведения о которой составляют государственную тайну (далее - средства защиты информации), подлежащей сертификации в рамках указанной системы.
Средства защиты информации, прошедшие сертификацию на соответствие требованиям по безопасности информации, установленным нормативными правовыми актами ФСТЭК России, включаются в Государственный реестр сертифицированных средств защиты информации, размещенный на сайте реестров ФСТЭК России в сети «Интернет» по адресу reestr.fstec.ru.
На момент подготовки ответа в реестре содержится информация о таких средствах уничтожения носителей информации как:
«Средство уничтожения информации на машинных магнитных носителей информации «Стек-НС3», сертификат ФСТЭК России от 28 марта 2022 г. № 4529, действителен до 28 марта 2027 г.;
«Программа поиска и гарантированного уничтожения информации на дисках < «Устройство уничтожения информации на магнитных носителей информации способом магнитно-силового воздействия «ПРИБОЙ Модуль-3.5», сертификат ФСТЭК России от 23 августа 2018 г. № 4004, действителен
до 23 августа 2028 г., и других.
Требования по безопасности информации к средствам, предназначенным для уничтожения бумажных носителей информации, ФСТЭК России не определены.
Вместе с тем, в соответствии с пунктом 31 Правил организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов в государственных органах, органах местного самоуправления и организациях, утвержденных приказом Федерального архивного агентства от 31 июля 2023 г. № 77, документы, содержащие персональные данные, имеющие пометку «Для служебного пользования», а также содержащие информацию ограниченного доступа, должны уничтожаться в государственном органе, органе местного самоуправлении, организации путем механического измельчения (шредирования) или иным способом, исключающим возможность восстановить содержание документов. Бумажные отходы передаются в организацию, занимающуюся переработкой вторсырья.
Документ, подтверждающий факт утилизации, прикладывается к акту о выделении к уничтожению документов, не подлежащих хранению.
Кроме того, в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179, документом, подтверждающим уничтожение персональных данных субъектов персональных данных, является акт об уничтожении персональных данных. Содержание акта определено указанными требованиями.
3. Порядок интеграции программного обеспечения, предназначенного для обработки персональных данных, со средствами защиты информации, прошедшими процедуру оценки соответствия, а также требования к проведению
такой процедуры с указанным программным обеспечением, ФСТЭК России не определены.

Answer 2

[Sergey IT]

Насколько я помню все законы надо выполнять в части защиты ПД.
1. Для всех операторов. Если у вас есть форма на сайте где человек оставляет свою почту, вы уже оператор по обработке данных и должны брать согласие на их обработку.
2. Имеются. Гуглите по теме Шредеры 4-го уровня (и выше) секретности. Максимальный 7-ой. Это те, которые крамсают бумагу в конфити, которое не склеить. В некоторых госслужбах есть шредеры которые жесткие диски с компьютера перемалывают.
3. Не подскажу, но помоему такое ПО должно будет иметь сертификацию ФСТЭК, но это не точно. И помоему такое рабочее место должно быть специально оборудовано.

Comments

[kira_clover]

Насколько я помню все законы надо выполнять в части защиты ПД

Конечно, только требования для всех разные в зависимости от многих факторов. Просто новую меру из 19 статьи закона невозможно выполнить на все 100%, а сформулирована она очень конкретно.

1. Для всех операторов. Если у вас есть форма на сайте где человек оставляет свою почту, вы уже оператор по обработке данных и должны брать согласие на их обработку.

Вопрос бы для кого обязательно применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации

2. Имеются. Гуглите по теме Шредеры 4-го уровня (и выше) секретности.

Только это обычный международный стандарт. Формулировка законодательства "прошедший в установленном порядке процедуру оценки соответствия средств защиты информации" означает, что средство имеет сертификат ФСТЭК или аттестат соответствия требованиям на конкретном защищаемом объекте

3. Не подскажу, но помоему такое ПО должно будет иметь сертификацию ФСТЭК, но это не точно. И помоему такое рабочее место должно быть специально оборудовано.

Вот это меня и беспокоит в нововведении закона и приводит к мысли, что это же невозможно...

[Sergey IT]

kira_clover, По последнему пункту все возможно, но стоит времени и сил.

Ничего не мешает разработчику подать заявку во ФСТЭК и разработать программу по всем требованиям. Того же Астралинукса есть куча версий, одна из них ФСТЭКовская, тоже самое с Касперским и т.д.

По оборудованию рабочего места тоже самое, я думаю оно по аналогии с корректной организацией рабочего места главбуха или того кто работает с ЭЦП.
Насколько я помню одно время были требования, что рабочее место, где используется ЭП нужно было делать так, что его нельзя было вынести или подменить, для этого системный блок или ноутбук должны были быть пристегнуты к стене/полу/невыносной вещи при помощи специального замка.

Возможно вы видели, что в ноутбуках и системниках есть специальный разъем под такой замок.

[kira_clover]

Sergey IT, в масштабах всех операторов и информационных систем персональных данных РФ это всё равно нереально
Получить сертификат ФСТЭК не так уж просто, даже компании, специализирующиеся на разработке средств защиты информации, не успевают получить сертификат на новые версии как надо уже ещё новее делать
А это станет ещё сложнее и дольше, когда ресурсов ФСТЭКа будет не хватать на всех кандидатов
Аттестация не сложная штука, но тоже требует много усилий, времени и денег. Тут ещё и ресурсы компаний, которые имеют лицензию на аттестацию нужны. Да и аттестация сейчас под контролем ФСТЭКа, опять же их ресурсы нужны

[SymphoGraph]

Если в Вас заинтересованы настолько, что готовы рыться в помойке в поисках плохо уничтоженных ПДН, понятное дело, отсутствие подобного оборудования не самое узкое место.

[kira_clover]

SymphoGraph, конечно, для уничтожения такой информации нужно что-то надежное. Но есть ведь много надежных средств, которые не имеют никаких сертификатов. А закон будто намекает, что можно использовать только сертифицированные

[Василий Банников]

kira_clover, гляньте методические рекомендации. Там должно быть написано, какие меры нужно применять в зависимости от рисков

[kira_clover]

Василий Банников, в настоящий момент в части именного этого требования методических рекомендаций нет

Answer 3

[Довольный Айтишникъ]

Проконсультируйтесь у платного юриста сейчас, чем потом платить тому же юристу намного больше, за защиту вас в суде. Любое мнение или совет отсюда - не факт что верный будет и доверять ему - прямой путь к проблемам (в юр плане)

Comments

[kira_clover]

Разумеется отличный совет, просто хотелось узнать мнение коллег))) К тому же в части персональных данных даже юридические ответы нуждаются в подкреплении официальными информационными письмами регуляторов или судебными делами, чтоб знать наверняка
(я параллельно написала обращение регуляторам с просьбой разъяснить этот момент, но одной веры, что они ответят однозначно, недостаточно)

[Максим Курильченко]

Интересно будет почитать ответ. Если не затруднит, выложите, пожалуйста.