Правовые аспекты использования несертифицированных
реклама
СОДЕРЖАНИЕ 2—7 • СОБЫТИЯ 8–25 • БИЗНЕС 26—59 • ТЕХНОЛОГИИ 60—85 • ОБЩЕСТВО 86—96 Правовые аспекты использования несертифицированных средств защиты информации в информационных системах обработки персональных данных Текст: Анатолий Коротков, Заместитель председателя правления ОАО Банк «Кузнецкий» Обязательность применения сертифицированных средств защиты информации (СЗИ) и средств защиты от несанкционированного доступа (НСД) персональных данных (ПДн) в информационных системах обработки персональных данных (ИСПДн) вызывает в настоящее время много вопросов и дискуссий. Пристальное внимание банковских специалистов к этой теме вполне понятно: необходимо найти баланс между существующими и потенциальными правовыми и репутационными рисками и финансовыми возможностями. Документов много, а ясности нет на данный момент Постановление пра- Банк, как оператор ПДн, обязан в соот- утверждено Положение об обеспечении ветствии со ст. 19 Федерального закона безопасности данных при их обработке от 27 июля 2006 года №152-ФЗ «О пер- в информационных системах персональ- сональных данных» «… принимать необ- ных данных, применять сложно, так как ходимые правовые, организационные в нем отсутствуют понятия об уровнях и технические меры или обеспечивать их защищенности ПДн. Правительство РФ принятие для защиты персональных дан- готовит новую редакцию данного доку- ных…», с другой стороны, для некрупных мента, в котором данные недостатки пла- региональных банков вопросы экономии нируется устранить. Что касается средств и рационального использования бюдже- защиты ПДн, то для них указанным По- та стоят далеко не на последнем месте. становлением установлена обязатель- Таким образом, при проектировании ность прохождения процедуры оценки и построении системы защиты ПДн банк соответствия. вительства №781 от 17.11.2007, которым должен найти баланс между существующими и потенциальными правовыми Оценка соответствия и репутационными рисками и финансо- Процедура оценки соответствия ре- Анатолий выми возможностями банка. При этом гулируется Федеральным законом Коротков неоднозначность толкования правовых от 27.12.2002 №184-ФЗ «О техническом норм, регулирующих технические тре- регулировании». В ст. 2 Закона 184-ФЗ бования по защите ПДн, значительно указано, что оценка соответствия заклю- В п. 4 Положения, прилагающегося затрудняет прохождение процедур согла- чается в прямом или косвенном опреде- к данному Постановлению, указано, что сования и утверждения бюджетов служб лении соблюдения требований, предъяв- особенностями оценки соответствия обеспечения информационной безопас- ляемых к объекту согласно техническим являются: необходимость защиты све- ности банка. регламентам, положениям стандартов, дений, составляющих государственную сводам правил или условиям догово- тайну, и (или) иных сведений ограни- нормативных документов на эту тему, ров, по результатам чего выдается под- ченного доступа (в нашем случае ПДн); всё обстоит достаточно непросто. В со- тверждение соответствия. В ст. 5 Закона установление требований к продукции ответствии с последней редакцией ст. 184-ФЗ установлено, что особенности (работам, услугам) и процессам с уче- 19 закона «О персональных данных», технического регулирования продукции том требований по защите информа- уровни защищенности ПДн в зависимо- в области защиты сведений, относимых ции (в нашем случае это СЗИ (СКЗИ), сти от угроз безопасности и требования к охраняемым в соответствии с законо- средства защиты от НСД); установление к защите ПДн при их обработке в ин- дательством РФ (Закон №152-ФЗ в на- требований к заявителям на осущест- формационных системах, исполнение шем случае), и, в частности, оценки соот- вление обязательной сертификации которых обеспечивает установленные ветствия продукции (т. е. средств защиты продукции, к органам по сертификации уровни защищенности ПДн, устанавли- информации), регулируется Постановле- и испытательным лабораториям (цен- вает Правительство РФ. Действующее нием Правительства РФ №266 (1). трам) в соответствии с законодатель- На самом деле, несмотря на обилие 80 Аналитический банковский журнал №3 (197) март 2012 Защита данных ством Российской Федерации о государственной и иной охраняемой законом тайне. В п. 5 Постановления установле- Банк «Кузнецкий»учрежден как общество с ограниченной ответственностью и зарегистрирован Бан- но, что оценка соответствия проводится ком России 26 октября 1990 года под номером 609. в формах обязательной сертификации С 1991 года Банк является членом Ассоциации российских банков (АРБ). и государственного контроля (надзора), ОАО Банк «Кузнецкий» включен в реестр банков — участников системы обязательного страхования а в п. 9 определено, что обязательную вкладов 14 января 2005 года под номером 428. сертификацию проводит государствен- 19 января 2012 г. ООО Банк «Кузнецкий» преобразовался в Открытое акционерное общество Банк ный орган, уполномоченный в области «Кузнецкий» под номером 609. внешней разведки (ФСБ). «Банк «Кузнецкий» является универсальным финансово-кредитным институтом, предоставляющим своим клиентам широкий спектр банковских продуктов, принятых в международной финансовой Позиция регулятора практике. В числе предоставляемых услуг: расчетно-кассовое обслуживание, потребительское креди- С другой стороны, отраслевой регулятор тование, выпуск пластиковых карт, разнообразные вклады, аренда сейфовых ячеек, денежные пере- банковской системы РФ — Банк Рос- воды в рублях и другие банковские продукты. Банк «Кузнецкий» предлагает своим клиентам широ- сии — решил несколько упростить жизнь кую сеть банкоматов и терминалов, адаптированных для приема платежей за услуги сотовой связи, банков, выпустив информационное коммунальных и других платежей письмо от 17 ноября 2011 года за номе- Являясь самостоятельным пензенским региональным банком, «Банк «Кузнецкий» постоянно уве- ром 015–16–9/4713. В нем Банк Рос- личивает объем кредитных вложений в развитие малого и среднего бизнеса области. Мы проводим сии допускает до выпуска документов, индивидуально — ориентированную политику «все для удобства клиента», специализируясь на об- обеспечивающих выполнение требова- служивании физических лиц, предприятий малого и среднего бизнеса, а так же индивидуальных ний законодательства, применение как предпринимателей. сертифицированных СЗИ, так и средств, не имеющих соответствующих сертификатов, мотивируя это тем, что «Отсут- маркирование продукции знаком со- определены как рекомендательные ствие в настоящее время технических ответствия, осуществляются в соответ- (п. 7.4.2), а требования сертификации регламентов, устанавливающих требо- ствии с правилами и процедурами, уста- средств криптозащиты информации, вания к средствам защиты информации, новленными нормативными правовыми как обязательные (п. 7.7.1). используемым для обеспечения безо- актами Российской Федерации и норма- пасности персональных данных при их тивными документами федеральных ор- Арбитр в споре — Роскомнадзор обработке в информационных системах ганов исполнительной власти, приняты- Таким образом, можно сделать вывод, что персональных данных, делает невозмож- ми до дня вступления в силу настоящего обязательность применения сертифициро- ным как оценку соответствия, так и до- Федерального закона…» Таким норма- ванных средств защиты информации в си- бровольное или обязательное подтверж- тивным документом как раз и является стемах обработки персональных данных дение соответствия СЗИ». действующее в настоящее время Поста- достаточно хорошо обоснована с правовой новление Правительства РФ №266. точки зрения. Данный вывод находит свое На самом деле, данная позиция регулятора представляется достаточно спор- Кроме этого, позиция регулятора подтверждение и в позиции надзорного ной. Так, в Законе о техническом регули- по данному вопросу представлена органа по соблюдению законодательства ровании (ст. 46 п. 2) указано, что «до дня и в Комплексе отраслевых стандар- в области персональных данных — Ро- вступления в силу соответствующих тов Банка России СТО БР ИББС-1.0– скомнадзора, которая неоднократно вы- технических регламентов обязатель- 2010, носящих рекомендательный сказывалась представителями данной ная оценка соответствия, в том числе характер. В частности, требова- организации как на специализированных подтверждение соответствия и государ- ния сертификации средств защи- семинарах, так и в ходе проверок кредит- ственный контроль (надзор), а также ты информации от НСД в документе ных организаций. A Сноски (1) Постановление Правительства РФ от 21 апреля 2010 № 266 «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, предназначенной для эксплуатации в загранучреждениях Российской Федерации, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг), и о внесении изменения в Положение о сертификации средств защиты информации». Аналитический банковский журнал №3 (197) март 2012 81
