Статья

Решения по защите ИСПДн: гордиев узел затягивается

Безопасность Госрегулирование Стратегия безопасности Новости поставщиков
мобильная версия

Казалось бы, за четыре с лишним года с момента вступления в силу Федерального закона "О персональных данных" (ФЗ-152) были проанализирована и обговорена каждая строчка закона, постановлений правительства и документов государственных регуляторов. Тем не менее ожесточенные споры по практике правоприменения норм законодательства продолжаются, и в хоре голосов нередки весьма противоречивые и даже спекулятивные утверждения. Значительная часть споров касается необходимости сертификации СЗИ и программного обеспечения, используемых при защите персональных данных. Попробуем разобраться в этом вопросе.

Часть вторая статьи 19 ФЗ-152 определяет, что требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) устанавливает правительство Российской Федерации. Не сам закон, но и не уполномоченные органы государственной власти (регуляторы). В соответствии с этой нормой закона 17 ноября 2007 г., правительством было принято, в частности, постановление № 781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". В самом положении черным по белому написано: "Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия" и "результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой ФСТЭК и ФСБ в пределах их полномочий".

Витиеватые законы

Чтобы понять, что такое оценка соответствия и экспертиза ее результатов, обратимся к другому закону – "О техническом регулировании". Он определяет, что оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме.

В свою очередь, подтверждение соответствия может быть добровольным – в форме добровольной сертификации, или обязательным, в формах принятия декларации о соответствии или обязательной сертификации. Декларировать можно только соответствие требованиям технических регламентов, которых для средств защиты информации и технологий информационной безопасности нет, и, если строго следовать букве закона, быть не может.

Об авторе

Михаил Емельянников, ведущий независимый эксперт по вопросам информационной безопасности, родился в 1955 году. В сфере ИБ работает с 1977 года. С марта 2007 года по февраль 2011 года – в ГК "Информзащита", последние несколько лет работал на должности директора по развитию бизнеса.

Согласно законодательства РФ, при отсутствии технических регламентов в отношении продукции, используемой в целях защиты охраняемых сведений (а персональные данные граждан именно такой информацией и являются), обязательными являются требования, установленные федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки и т.п. Особенности же технического регулирования в части разработки и выработка этими органами обязательных требований устанавливаются президентом Российской Федерации и правительством Российской Федерации в соответствии с их полномочиями.

Эти особенности и были определены постановлением правительства от 15.05.2010 г. № 330. К сожалению, закрытым документом (с грифом ДСП). Рассмотрение истории, связанной с исполнением закрытых нормативно-правовых актов в условиях отсутствия закона о служебной тайне, выходит далеко за пределы данной статьи. Констатируем пока факт. Постановление витиевато, но все-таки достаточно конкретно определяет, что в случаях, на которые распространяется введенное в действие постановлением положение, оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора), а объектом обязательной сертификации является продукция. Витиеватость же заключается в следующей формулировке: "Настоящее положение не распространяется на продукцию (работы, услуги), используемую в целях защиты информации конфиденциального характера, не являющейся государственным информационным ресурсом и (или) персональными данными, а также на связанные с ней процессы".

То есть на ИСПДн положение распространяется, а продукция, использование которой регулируется положением, - это средства защиты информации в ИСПДн. Про приложения, предназначенные для обработки персональных данных, и их сертификацию нигде ничего не говорится.

Порядок обязательной сертификации средств защиты информации (правда, только тех, которые предназначены для защиты государственной тайны) установлены еще одним постановлением правительства – от 26.06.1995 г. № 608. С тех пор утратил силу закон "О сертификации товаров и услуг", многое изменилось, но постановление – действующее, последнее изменение в него внесено в 2010 г.

Из всех этих сложных логических умозаключений следует достаточно простой вывод: все средства защиты информации в ИСПДн должны пройти процедуру обязательной сертификации во ФСТЭК или ФСБ (в зависимости от того, в чьем ведении такие средства находятся) по правилам, установленным для средств защиты государственной тайны.