Постановление Правительства № 1119 vs. 21 приказ ФСТЭК. Сохранность носителей персональных данных

0

 

флешки

В процессе разработки организационно-распорядительной документации для информационной системы персональных данных по новым требованиям я столкнулась с забавным моментом. Ни для кого не секрет, что Постановление Правительства РФ № 1119 и 21 приказ ФСТЭК не особо согласованы. Уже миллион раз на форумах специалисты по информационной безопасности обсудили, что в 21 приказе отсутствует пункт 5 (видно каждая комиссия из Роскомнадзора будет приходить на проверку в компании со своим 5 пунктом…), что из Постановления Правительства РФ № 1119 до сих пор так и не ясно, что такое «электронный журнал сообщений» и как он связан (а связан ли вообще?) с «электронным журналом безопасности»? Фантазировать можно долго и много…

Не знаю, обсуждалось ли это на просторах Интернета или нет, но у нас в блоге точно нет, поэтому поделюсь найденным мной разночтением в этих законодательных актах.

В Постановление Правительства РФ № 1119 прописано:

 

«13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных»

 

далее прописано, что все требования, которые предъявляются к 4 уровню защищенности, должны быть выполнены и для 1, 2 и 3 уровней.

В 21 приказе ФСТЭК есть группа мер по обеспечению безопасности персональных данных «IV. Защита машинных носителей персональных данных»:

 

IV. Защита машинных носителей персональных данных (ЗНИ)

ЗНИ.1 Учет машинных носителей персональных данных

+

+

ЗНИ.2 Управление доступом к машинным носителям персональных данных

+

+

ЗНИ.З Контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны
ЗНИ.4 Исключение возможности несанкционированного ознакомления  с  содержанием  персональных данных,хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах
ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных
ЗНИ.6 Контроль ввода (вывода) информации на машинные носители персональных данных
ЗНИ.7 Контроль подключения машинных носителей персональных данных
ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

+

+

+

 

Как мы видим, меры по учёту и управлению машинными носителями ПДн предъявляются только для 1 и 2 уровня защищенности.

Логично, что «обеспечение сохранности носителей ПДн» невозможно без их учёта, а также разграничения доступа к ним. На лицо несоответствие требований, которые предъявляются к защите и сохранности носителей ПДн. Согласно Постановлению Правительства РФ № 1119 необходимо обеспечивать защиту и сохранность носителей ПДн (в том числе и машинных носителей) для ВСЕХ УРОВНЕЙ ЗАЩИЩЕННОСТИ, а в 21 приказе ФСТЭК прописаны аналогичные требования только для 1 и 2 уровня защищенности.

Думаю, что ни для кого не станет откровением, что при возникновении несоответствий в законодательных актах, необходимо руководствоваться высшим законодательным актом, в нашем случае это Постановление Правительства РФ № 1119. Соответственно учет и управление доступом к машинным носителям ПДн необходимо обеспечивать для всех уровней защищенности. Остается надеяться, что со временем таких ляпов в законодательстве станет меньше.

4d773df072a6

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *