Постановление Правительства № 1119 vs. 21 приказ ФСТЭК. Сохранность носителей персональных данных
В процессе разработки организационно-распорядительной документации для информационной системы персональных данных по новым требованиям я столкнулась с забавным моментом. Ни для кого не секрет, что Постановление Правительства РФ № 1119 и 21 приказ ФСТЭК не особо согласованы. Уже миллион раз на форумах специалисты по информационной безопасности обсудили, что в 21 приказе отсутствует пункт 5 (видно каждая комиссия из Роскомнадзора будет приходить на проверку в компании со своим 5 пунктом…), что из Постановления Правительства РФ № 1119 до сих пор так и не ясно, что такое «электронный журнал сообщений» и как он связан (а связан ли вообще?) с «электронным журналом безопасности»? Фантазировать можно долго и много…
Не знаю, обсуждалось ли это на просторах Интернета или нет, но у нас в блоге точно нет, поэтому поделюсь найденным мной разночтением в этих законодательных актах.
В Постановление Правительства РФ № 1119 прописано:
«13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных»
далее прописано, что все требования, которые предъявляются к 4 уровню защищенности, должны быть выполнены и для 1, 2 и 3 уровней.
В 21 приказе ФСТЭК есть группа мер по обеспечению безопасности персональных данных «IV. Защита машинных носителей персональных данных»:
|
IV. Защита машинных носителей персональных данных (ЗНИ) |
|||||
| ЗНИ.1 | Учет машинных носителей персональных данных |
+ |
+ |
||
| ЗНИ.2 | Управление доступом к машинным носителям персональных данных |
+ |
+ |
||
| ЗНИ.З | Контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны | ||||
| ЗНИ.4 | Исключение возможности несанкционированного ознакомления с содержанием персональных данных,хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах | ||||
| ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных | ||||
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители персональных данных | ||||
| ЗНИ.7 | Контроль подключения машинных носителей персональных данных | ||||
| ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания |
+ |
+ |
+ |
|
Как мы видим, меры по учёту и управлению машинными носителями ПДн предъявляются только для 1 и 2 уровня защищенности.
Логично, что «обеспечение сохранности носителей ПДн» невозможно без их учёта, а также разграничения доступа к ним. На лицо несоответствие требований, которые предъявляются к защите и сохранности носителей ПДн. Согласно Постановлению Правительства РФ № 1119 необходимо обеспечивать защиту и сохранность носителей ПДн (в том числе и машинных носителей) для ВСЕХ УРОВНЕЙ ЗАЩИЩЕННОСТИ, а в 21 приказе ФСТЭК прописаны аналогичные требования только для 1 и 2 уровня защищенности.
Думаю, что ни для кого не станет откровением, что при возникновении несоответствий в законодательных актах, необходимо руководствоваться высшим законодательным актом, в нашем случае это Постановление Правительства РФ № 1119. Соответственно учет и управление доступом к машинным носителям ПДн необходимо обеспечивать для всех уровней защищенности. Остается надеяться, что со временем таких ляпов в законодательстве станет меньше.
