Должна ли организация ставить на ПК с перс. данными работников средства криптографической защиты?
Подскажите, пожалуйста, должна ли организация с 01.01.2011 в соответствии с 363-ФЗ руководствоваться Положением 781 от 17.11.07 (и ставить на ПК с персональными данными средства криптографической защиты) или Положением 687 от 15.08.08 (и просто усовершенствовать наш документооборот). Разные эксперты считают по разному, из судебной практики нашла только Решение Арбитражного суда респ. Коми от 30.07.09 № 29-5173/2009 (склоняются ко второй версии), а Роскомнадзор по итогам парламентских слушаний признал избыточными требования 363-ФЗ к операторам, обрабатывающими персональные данные. Заранее благодарна за ответ.
Comments
-
Цитата: Подскажите, пожалуйста, должна ли организация с 01.01.2011 в соответствии с 363-ФЗ руководствоваться Положением 781 от 17.11.07 (и ставить на ПК с персональными данными средства криптографической защиты) или Положением 687 от 15.08.08 (и просто усовершенствовать наш документооборот). Разные эксперты считают по разному, из судебной практики нашла только Решение Арбитражного суда респ. Коми от 30.07.09 № 29-5173/2009 (склоняются ко второй версии), а Роскомнадзор по итогам парламентских слушаний признал избыточными требования 363-ФЗ к операторам, обрабатывающими персональные данные. Заранее благодарна за ответ.
Добрый день. Ваш вопрос не имеет отношения к разделу «Правила форума и информация от администрации». Вопрос перемещен. Пожалуйста, обращайте внимание на раздел, в котором Вы размещаете вопрос. Читайте правила форума. -
Цитата: Подскажите, пожалуйста, должна ли организация с 01.01.2011 в соответствии с 363-ФЗ
Надо ссылаться не на 363-ФЗ, а на 152-ФЗ.
Парадокс вопроса в том, что 363-ФЗ содержит строчку:
1) в части 1 статьи 19 слова ", в том числе использовать шифровальные (криптографические) средства," исключить;
Т.е. часть 1 статьи 19, до него была:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
После него стала:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
А значит из самого закона упоминание каких-либо шифровальных средств исчезло. Что лишний раз говорит, что шифрование не обязанности и не панацея.
Важно понимать, что Вы должны принять меры необходимые и достаточные для обеспечения безопасности.
Какие это меры зависит от типа персональных данных (мед.организациям в этом смысле хуже всего, т.к. они у них "самые-самые" перс.данные), от их объема, от модели угроз.
Т.е. каждая организация сначала определяется в какой класс попадает их информационная система обрабатывающая перс.данные, после этого в соответствии с рекомендациями ФСТЭК, ФСБ строится модель угроз и комплекс мероприятий по предотвращению этих угроз.
Комплекс этих мероприятий может носить как организационный так и технический характер. Использовать какие-либо средства криптозащиты никто не обязывает. Точно так же как использование средств криптозащиты не означает, что Вы исполнили требования Закона (например потому что ключи от средств шифрования у Вас лежат на флэшке, а флэшка на столе, а пароль от секретных ключей прилеплен на монитор).
