В начале 2010 года были приняты и опубликованы новые документы ФСТЭК России по вопросам защиты персональных данных: приказ от 05.02.2010 № 58 и соответствующее Решение от 5 марта, которым предписано не применять более для обеспечения безопасности персональных данных два методических документа ФСТЭК России от 15.02.2008.
Согласование приказа № 58 в Минюсте лишает опоры тех, кто не признавал методических документов ФСТЭК России и препятствовал их применению при построении систем защиты персональных данных в информационных системах.
Несмотря на то что введенное этим приказом Положение о методах и способах защиты информации в информационных системах персональных данных (далее — Положение) вобрало основные моменты отмененных документов, оно стало более компактным и не содержит ничего, что можно было бы объявить фривольной трактовкой федеральных законов или того же 781-го Постановления, в соответствии с которым оно было принято. Его структура стала более четкой, а формулировки не содержат противоречий.
Приятным сюрпризом для операторов стало и то, что заметно снижен общий уровень требований, и не только к отдельным подсистемам защиты, но и к системам защиты в целом. В частности, основной набор требований к ИСПДн 2 класса теперь снижен до уровня ИСПДн 3 класса.
И хотя из-за изменения структуры и состава применяемых методов и способов защиты, возможно, возникнет необходимость пересмотра хода и результатов ряда ранее начатых проектов по созданию систем защиты персональных данных, практическая применимость нового Положения в целом на несколько порядков превышает уровень упраздненных документов.
Однако новое Положение имеет и особенности, которые могут вызвать новые вопросы у операторов и потому требуют детального осмысления.
< ... >
