четверг, 13 июня 2013 г.

Комментарии к документу«Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденному приказом ФСТЭК
России от 18 февраля 2013 г. № 21

Выход приказа ФСТЭК России № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ 21) внес определенность в ситуацию, сложившуюся в области защиты персональных данных.

Непосредственно перед рассмотрением Приказа 21 отразим текущую ситуацию в области нормативных документов (НМД), регламентирующих процесс обеспечения безопасности персональных данных.
В настоящий момент перечень основных нормативных документов, регламентирующих вопросы обработки и защиты персональных данных (ПДн) включает:
1.Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
2.«Требования к защите персональных данных при их обработке в информационных системах персональных данных», утверждены постановлением Правительства РФ от 1 ноября 2012 г. № 1119 (далее – Постановление 1119).

3.«Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и  принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержден постановлением Правительства РФ от 21 марта 2012 г. № 211.
4. «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены приказом ФСТЭК России от 18 февраля 2013г. №21.
5.Постановление Правительства РФ от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6.Постановление Правительства РФ от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».
7.«Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена Заместителем директора ФСТЭК России 14 февраля 2008 года.
8.«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена Заместителем директора ФСТЭК России от 15 февраля 2008 года.

 На основе перечисленных нормативных документов можно выстроить последовательность построения системы защиты ПДн (рисунок). Отметим, что используя положения, отраженные в Приказе 21, можно выстроить процесс в соответствии с лучшими практиками международных стандартов по информационной безопасности, а именно с применением циклической модели Деминга (Plan-Do-Check-Act). Данный процесс представлен на Рисунке 1.

Рисунок 1 – процесс построения системы защиты ПДн

Комментарии
1.    Настоящий документ разработан в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» и устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных для каждого из уровней защищенности персональных данных, установленных в Требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г., № 1119




                 Приказ 21 является документом, разъясняющим и дополняющим положения Постановления 1119, поэтому целесообразно рассматривать эти документы в связке.

                 Постановление 1119 задает фундамент для системы защиты ПДн, устанавливая виды информационных систем персональных данных (ИСПДн), типы актуальных угроз безопасности ПДн и уровни защищенности ПДн в ИСПДн. Для наглядности приведем таблицы, иллюстрирующие условия определения уровней защищенности ПДн и требований к ним (Таблица 1, Таблица 2).

                 Таблица 1 – Уровни защищенности персональных данных

Категории обрабатываемых персональных данных
Какой тип угроз актуален для информационной системы
Биометрические персональные данные
Специальные категории
персональных данных
Общедоступные
персональные данные
Иные категории
персональных данных
Сотрудники
> 100 000 
< 100 000 
Сотрудники
> 100 000 
< 100 000 
Сотрудники
> 100 000 
< 100 000 
1.
угрозы 1-го типа
1
1
1
1
2
2
2
1
1
1
2.
угрозы 2-го типа
2
2
1
2
3
2
3
3
2
3
3.
угрозы 3-го типа
3
3
2
3
4
4
4
4
3
4

Условные обозначения к таблице:
Сотрудники – обработка персональных данных сотрудников.
> 100 000 – более чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
< 100 000 – менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
1 – 1-го уровень защищенности персональных данных.
2 –2-ой уровень защищенности персональных данных.
3 –3-ий уровень защищенности персональных данных.
4 –4-ый уровень защищенности персональных данных.

Таблица 2 – Требования к уровням защищенности персональных данных
Формулировка требования
Уровень защищенности персональных данных
4
3
2
1
1.                  
Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
+
+
+
+
2.                  
Обеспечение сохранности носителей персональных данных
+
+
+
+
3.                  
Утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей
+
+
+
+
4.                  
Использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз
+
+
+
+
5.                  
Назначение должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе
-
+
+
+
6.                  
Доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей
-
-
+
+
7.                  
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе
-
-
-
+
8.                  
Создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности
-
-
-
+
Условные обозначения к таблице:
«-» – требование не предъявляется.
«+» – требование предъявляется.

Таким образом, перед началом работы по определению мер, необходимых для обеспечения безопасности ПДн в ИСПДн, мы будем иметь следующую информацию:
·      Тип информационной системы, обрабатывающей ПДн.
·      Перечень актуальных угроз безопасности ПДн.
·      Уровень защищенности (УЗ) ПДн в ИСПДн.
·      Минимальный набор требований к защищенности ПДн определенного УЗ.

Теперь перейдем непосредственно к рассмотрению Приказа 21.

2. Безопасность персональных данных при их обработке в информационной системе персональных данных (далее – информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.
Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации

В течение длительного периода времени существовал вопрос о необходимости получения лицензии на деятельность по технической защите конфиденциальной информации оператором ПДн для осуществления мер по обеспечению безопасности ПДн. Данный пункт приказа в очередной раз подтверждает, что лицензия необходима при оказании услуг по ТЗКИ, к оператору ПДн требований по наличию лицензии не предъявляется.

3. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных

В последнее время выпускаемые регуляторами нормативные документы имеют четко прослеживающийся уклон в направлении анализа рисков и моделирования угроз. Данная тенденция не может не радовать, так как построенные на этих принципах системы защиты учитывают все особенности защищаемых объектов в отличие от жесткого навязывания определенных мер защиты.
Основываясь на данном пункте можно сказать, что основой для выбора мер по обеспечению безопасности ПДн является модель угроз и нарушителей безопасности ПДн.

4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных

С одной стороны п. 4 дает ответ на вопрос о необходимости применения средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, и следовательно, применять данные средства защиты необходимо только если это требуется для нейтрализации актуальных угроз, однако стоит обратить внимание на формулировку из п. 12.

Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей

В настоящее время единственной формой контроля недекларированных возможностей является сертификация, и путем частичного сложения «наказаний» мы получаем обязательное применение таких средств для ряда ИСПДн.

6. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года

Важным моментом в рассматриваемом документе является то, что теперь четко прописана необходимость проведения регулярной оценки эффективности реализованных мер по обеспечению безопасности ПДн. Данное требование отражает лучшие практики управления информационной безопасностью и служит основой для применения модели PDCA (Plan-Do-Check-Act) при построении системы обеспечения безопасности ПДн.

7. Меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

Для государственных информационных систем ФСТЭК России разработал отдельный документ [3], а также в ближайшее время планируется выпуск новой версии СТР-К.


8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
управление конфигурацией информационной системы и системы защиты персональных данных.

Данный пункт содержит стандартный набор мер по обеспечению информационной безопасности, однако хотелось бы отметить, что появилось описание такой меры, как «защита среды виртуализации».

8.11. Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

Подробное описание данной меры позволит избежать двоякого толкования «защищенности виртуальной среды», которое часто возникало при работе по замененным нормативным документам.
9. Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:
определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных в соответствии с базовыми наборами мер по обеспечению безопасности персональных данных, приведенными в приложении к настоящему документу;
адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы;
дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.

Отдельное внимание стоит обратить на предложенный подход выбора мер по обеспечению безопасности ПДн. Он заключается в поступательном формировании окончательного перечня с учетом особенностей ИСПДн, актуальных угроз и мер, требования о применении которых прописаны в иных нормативных документах. С учетом п.10 данного документа получается довольно интересный механизм с не до конца понятным принципом действия. Основной вопрос заключается в водимом в п. 10 понятии «экономическая целесообразность», оценка которой происходит на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер. Никаких механизмов оценки экономической целесообразности не приводится.

10. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.
В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.

Для разрешения возникшей неопределенности можно использовать созданную в процессе разработки моделей угроз для различных ИСПДн качественную шкалу суждений (Качественная шкала построена на основании статьи «Обработка персональных данных в информационных системах: как обеспечить безопасность» (авторы: заместитель начальника Управления ФСТЭК России А.Бажанов, начальник отдела Управления ФСТЭК России И.Назаров, главный научный сотрудник ГНИИ ПТЗИ ФСТЭК России Ю.Язов) о последствиях нарушения безопасности ПДн. Немного модернизировав ее с учетом изменений в нормативных документах можно получить следующую схему (см. Рисунок 2).
Рисунок 2 − Качественная шкала суждений о последствиях нарушения безопасности ПДн

Применяя данную схему можно связать предполагаемый ущерб от реализации актуальных угроз безопасности ПДн и затраты на реализацию выбранных мер.



12. При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:
а) для обеспечения 1 и 2 уровней защищенности персональных данных применяются:
средства вычислительной техники не ниже 5 класса;
системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;
межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
б) для обеспечения 3 уровня защищенности персональных данных применяются:
средства вычислительной техники не ниже 5 класса;
системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса защиты в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;
в) для обеспечения 4 уровня защищенности персональных данных применяются:
средства вычислительной техники не ниже 6 класса;
системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;
межсетевые экраны 5 класса.
Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

В данном разделе описаны типы сертифицированных по требованиям безопасности информации средств защиты информации, которые, в случае необходимости, применяются для защиты от актуальных угроз. Для наглядности требования сведены в Таблицу 3.

 Таблица 3 – требования к СрЗИ

АУ 1 типа
АУ 2 типа
АУ 3 типа
С подключением к ССОП
Без подключения к ССОП
1 УЗ
СВТ 5+
СОВ 4+
САЗ 4+
МЭ 3+
НДВ 4+
СВТ 5+
СОВ 4+
САЗ 4+
МЭ 3+
НДВ 4+
СВТ 5+
СОВ 4+
САЗ 4+
МЭ 3+
НДВ 4+
СВТ 5+
СОВ 4+
САЗ 4+
МЭ 4+
НДВ 4+
2 УЗ
СВТ 5+
СОВ 4+
САЗ 4+
МЭ 3+
НДВ 4+
СВТ 5+
СОВ 4+
САЗ 4+
МЭ 3+
НДВ 4+
СВТ 5+
СОВ 4+
САЗ 4+
МЭ 3+
НДВ 4+
СВТ 5+
СОВ 4+
САЗ 4+
МЭ 4+
НДВ 4+
3 УЗ

СВТ 5+
СОВ 4+
САЗ 4+
МЭ 3+
НДВ 4+
СВТ 5+
СОВ 4+
САЗ 4+
МЭ 3+

СВТ 5+
СОВ 5+
САЗ 5+
МЭ 4+

4 УЗ
СВТ 6+
СОВ 5+
САЗ 5+
МЭ 5+

Заключение

Выход Приказа 21 внес определенную ясность в методологию построения системы обеспечения безопасности ПДн, предлагаемую регуляторами. Появился определенный уклон в сторону риск-ориентированного подхода, предлагаемого международными стандартами в области информационной безопасности. Изменился общий подход к реализации и контролю мер по обеспечению безопасности ПДн. Теперь эти функции целиком и полностью возложены на оператора ПДн, который, при необходимости, может привлекать сторонние организации для выполнения этих задач. С одной стороны это отражает «best practice» в данной области, но, учитывая наш менталитет, это может быть расценено как «зачем что-то делать, никто же не проверит?».
Резюмируя все вышесказанное, можно отметить положительные тенденции, происходящие в области информационной безопасности в целом. Разработка Приказа 21 велась в тесном контакте с широкой аудиторией экспертов в области информационной безопасности, что сильно сказалось на его содержании. Хорошо это, или плохо, можно будет сказать только после появления практики применения новой нормативной базы.
Надеюсь, что материал был полезен специалистам, в обязанности которых входит организация обработки и защиты персональных данных.


11 комментариев:

  1. спасибо, очень полезно, жду статью об оценке соответствия)

    ОтветитьУдалить
    Ответы
    1. А что писать про оценку соответствия? Смотришь что требуется и что есть)

      Удалить
  2. Вот тут целая подборка хороших постов по приказу 21 - http://dlp-expert.ru/taxonomy/term/572

    ОтветитьУдалить
  3. Я не согласен с выводом по п.2
    Из него нельзя делать никаких выводов о необходимости или её отсутствии наличия у оператора лицензии. Там сказано только, что если вы кого-то привлекаете, то этот субъект должен иметь лицензию, что понятно, поскольку он в этом случае оказывает услугу соответствующего лицензируемого вида деятельности. Вопрос о необходимости иметь лицензию оператору в рамках данного документа не решается.

    ОтветитьУдалить
    Ответы
    1. По моему, не надо плодить неоднозначностей. Если не написано про необходимость лицензии для оператора, значит она не нужна, т.к. про всех остальных это написано. Вечно все додумывают какие-то скрытые смыслы, а потом пытаются в них разобраться. Если оператор сам себя защищает, а потом сам себя проверяет, то он несет за это все ответственность и наличие или отсутствие у него лицензии ни на что не повлияет.

      Удалить
    2. А никаких неоднозначностей и сложностей нет - вопросы лицензирования могут, должны и по факту отражены только в соответствующем положении о лицензировании. Все неясности были пояснены через информационное письмо. Как можно делать выводы об отсутствии необходимости лицензии у оператора из документа, в котором приводятся только требования организационно-техническим мерам системы защиты? У 21 приказа совершенно другая цель и область применения. Это тоже самое, что вопросы лицензирования в какой-нить "Базовой методике определения актуальности угроз" расписывать.

      Удалить
    3. Ну давайте посмотрим в это информационное письмо...
      "Для принятия решения о необходимости получения юридическим лицом лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации необходимо руководствоваться гражданским законодательством, согласно которому отдельными видами деятельности юридические лица могут заниматься только на основании специального разрешения (лицензии).
      Частью 1 статьи 2 Гражданского кодекса Российской Федерации определено, что гражданское законодательство регулирует отношения между лицами, осуществляющими предпринимательскую деятельность, или с их участием, исходя из того, что предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке.
      Исходя из изложенного, получение юридическим лицом лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации является обязательным в случае, если эта деятельность направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации и (или) она необходима для достижения целей деятельности, предусмотренных в учредительных документах юридического лица, а также если это юридическое лицо (уполномоченное лицо) обеспечивает техническую защиту конфиденциальной информации при ее обработке в соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации" по поручению обладателя информации конфиденциального характера и (или) заказчика информационной системы.
      В случае, если деятельность по технической защите конфиденциальной информации не направлена на достижение целей деятельности, предусмотренных в учредительных документах, и (или) не связана с получением прибыли от выполнения указанных работ или оказания услуг, решение о необходимости получения соответствующей лицензии может быть принято юридическим лицом самостоятельно в соответствии с законодательством Российской Федерации."
      Таким образом, приказ 21 просто повторяет уже сказанное.
      А зная ФСТЭК, можно не надеяться на какую-то наследственность в документах. Они могут прописать что угодно и где угодно.

      Удалить
    4. Я не знаю как Вас зовут, поэтому не могу обратиться по имени (кстати, предлагаю на ты, так проще). Все-таки, как мне кажется некорректным вывод о повторе в 21 приказе информации из письма. 21 приказ ВООБЩЕ не задевает вопросы лицензирования. Единственный момент, в котором термин "лицензия" - это при использовании услуг сторонней организации, и то, только потому, что это 100% безусловный случай, когда для этой организации лицензия нужна. Ответа на вопрос "Нужна ли она оператору?" в 21 приказе нет.
      Насчет того, что ФСТЭК может написать что угодно в каком угодно своем документе, я пожалуй соглашусь, но конкретно этот документ в плане вопроса лицензировании корректен и совсем его не задевает.

      Удалить
  4. Я немного подкорректировал формулировку, теперь она выглядит более гладко.

    ОтветитьУдалить
    Ответы
    1. Ну если уж этот вопрос в рамках данного анализа так широко раскрывается, то я бы написал так - Из данного пункта приказа следует, что при использовании услуг внешних организаций для защиты персональных данных, оператор должен убедиться в наличии у них действующих лицензий ФСТЭК на ТЗКИ (кроме того, не забываем про наличие у этих организаций действующих лицензий ФСБ, в случае, если им будут передаваться также услуги по поддержке средств криптографической защиты, данное требование вытекает из Положения о лицензировании ФСБ №313). Вопрос о необходимости иметь лицензию ФСТЭК самому оператору в рамках данного документа не решается, для этого необходимо руководствоваться Положением о лицензировании ТЗКИ №79 и Информационным письмом ФСТЭК №240/22/2222.

      Удалить
    2. Да Михаил, я согласен, что такой вывод будет более корректным.

      Удалить