«Анализ нормативной базы по организации работы и защите персональных данных (149-ФЗ, документы ФСТЭК и ФСБ России)»

Введение

Актуальность статьи обусловлена с увеличением количества проблем,
связанных с утечками персональных данных. Вопрос защиты персональных
данных является одним из основных для любого предприятия.
Многочисленные исследования в области информационной
безопасности показывают, что наиболее распространенным каналом утечки
конфиденциальной информации, в том числе и персональных данных,
является внутренний нарушитель. Защита персональных данных является
одной из наиболее актуальных и сложных задач в области информационной
безопасности. Принятый в 2006 году закон «Об информации,
информационных технологиях и о защите информации» №149-ФЗ, а также
множество последовавших за ним нормативно-правовых актов, обязали
каждую организацию, осуществляющую обработку персональных данных,
обеспечивать защиту этой информации [ 1 ].
Современные информационные системы предприятий и организаций,
наряду с хранением и обработкой деловой информации, решают задачи
хранения и обработки ПДн сотрудников и контрагентов. Это влечет за собой
необходимость организации обработки и защиты ПДн в соответствии с
требованиями действующего законодательства в данной области. Защита
ПДн является одной из важнейших задач системы обеспечения
информационной безопасности в организации любого масштаба и любой
организационно–правовой формы хозяйствования.

1. Перечень нормативных и методических документов в области защиты

персональных данных

Персональные данные (ПДн) - это информация ограниченного доступа.
К персональным данным в связи с этим могут относиться фамилия, имя,
отчество, год, месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы, другая
информация, [1] принадлежащая субъекту ПДн.
При реализации мер защиты информации на объектах инфраструктуры,
используемых при оказании государственных и муниципальных услуг,
необходимо руководствоваться, в том числе, следующими нормативными
документами в области защиты информации Российской Федерации:
 Федеральный закон Российской Федерации от 27 июля 2006 года №
149- ФЗ «Об информации, информационных технологиях и о защите
информации»;
 Федеральный закон Российской Федерации от 27 июля 2006 года №
152- ФЗ «О персональных данных»;
 Федеральный закон Российской Федерации от 26 июля 2017 года №
187- ФЗ «О безопасности критической информационной инфраструктуры
Российской Федерации»;
 Указ Президента Российской Федерации от 17 марта 2008 года № 351
«О мерах по обеспечению информационной безопасности Российской
Федерации при использовании информационно-телекоммуникационных
сетей международного информационного обмена»;
 Постановление Правительства Российской Федерации от 1 ноября
2012 года № 1119 «Об утверждении требований к защите персональных
данных при их обработке в информационных системах персональных
данных»;
 Приказ ФСТЭК России от 11 февраля 2013 года № 17 «Об
утверждении Требований о защите информации, не составляющей

государственную тайну, содержащейся в государственных информационных
системах»;
 Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об
утверждении состава и содержания организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных»;
 Приказ ФСТЭК России от 21 декабря 2017 года №235 «Об
утверждении Требований к созданию систем безопасности значимых
объектов критической информационной инфраструктуры Российской
Федерации и обеспечению их функционирования»;
 Приказ ФСТЭК России от 25 декабря 2017 года №239 «Об
утверждении Требований по обеспечению безопасности значимых объектов
критической информационной инфраструктуры Российской Федерации»;
 Методический документ «Меры защиты информации в
государственных информационных системах», утвержденный ФСТЭК
России 11 февраля 2014 года;
 Методический документ «Методика оценки угроз безопасности
информации», утвержденный ФСТЭК России 05 февраля 2021 года;
 Приказ ФАПСИ от 13 июня 2001 года № 152 «Об утверждении
инструкции об организации и обеспечении безопасности хранения,
обработки и передачи по каналам связи с использованием средств
криптографической защиты информации с ограниченным доступом, не
содержащей сведений, составляющих государственную тайну»;
 Приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении
положения о разработке, производстве, реализации и эксплуатации
шифровальных (криптографических) средств защиты информации
(положение ПКЗ-2005)»;
 Приказ ФСБ России от 10 июля 2014 года № 378 «Об утверждении
состава и содержания организационных и технических мер по обеспечению

безопасности персональных данных при их обработке в информационных
системах персональных данных с использованием средств
криптографической защиты информации, необходимых для выполнения
установленных Правительством Российской Федерации требований к защите
персональных данных для каждого из уровней защищенности».
В итоге, требования по обеспечению безопасности информации на
объектах инфраструктуры, используемых при оказании государственных и
муниципальных услуг, определяются в соответствии с нормами
законодательства Российской Федерации в области обеспечения
информационной безопасности (далее – ИБ) и должны учитывать
требования, установленные нормативными документами в области защиты
информации Федеральной службы безопасности (ФСБ России) и
Федеральной службы по техническому и экспортному контролю (ФСТЭК
России).
Требования по обеспечению ИБ должны быть применены в отношении
следующих элементов объектов инфраструктуры, используемых при
оказании государственных и муниципальных услуг:  информационно-
телекоммуникационную инфраструктуру, в которой размещаются
информационные системы (далее – ИС) ФОИВ, РОИВ, ОМСУ;
 ИС ФОИВ, РОИВ, ОМСУ, создаваемых в целях оказании
государственных и муниципальных услуг;  программное обеспечение,
разработанное с целью реализации функций по предоставлению
региональных и муниципальных услуг;
 средства криптографической защиты информации, применяемые в
ИС региональных и муниципальных органов власти.
Полученный перечень предлагаем структурировать в схему (рисунок
1).

Рисунок 1 – Схема перечня нормативных документов в области защиты

персональных данных

Подробнее укажем на рисунке 2, что же из себя представляют руководящие
документы ФСТЭК и документы ФСБ.

Рисунок 2 – Требования, содержащиеся в руководящих документах

ФСТЭК и документы ФСБ

В итоге, в данном разделе был составлен полный перечень
нормативных и методических документов в области защиты персональных
данных. Полученные данные были отражены на рисунках раздела.

2. Новеллы в законодательстве Федерального закона от 27.07.2006
№ 149-ФЗ «Об информации, информационных технологиях и о защите

информации»

Федеральный закон «Об информации, информационных технологиях и
защите информации» - нормативный документ Российской Федерации,
который юридически описывает понятия и определения в области
технологий, правовое регулирование в области информации,
информационных технологий, а также регулирование отношения при
осуществлении права искать, получать, передавать, производить и
распространять информацию с использованием информационных технологий
[ 3 ].
Перечислим меры, направленные на реализацию исследуемого
федерального закона (рис. 3).

Рисунок 3 – реализация мер по соблюдению норм Федерального закона
№ 149-ФЗ «Об информации, информационных технологиях и о защите

информации»

Далее, отразим принципы правового регулирования отношений в сфере
информации, информационных технологий и защиты информации (рисунок
4).

Рисунок 4 – Соблюдение принципов правового регулирования
отношений в сфере информации, информационных технологий и

защиты информации

При этом, важно [ 2 ]:
- устанавливать ограничения на доступ к информации только
федеральными законами, в частности, посредством применения
Федерального закона № 149-ФЗ «Об информации, информационных
технологиях и о защите информации»;
- формирование достоверности информации и своевременности ее
предоставления.
В новой редакции Федерального закона от 27.07.2006 № 149-ФЗ «Об
информации, информационных технологиях и защите информации» внесены
следующие изменения:
2) статью 2 дополнить пунктами 18.1 - 18.2 следующего содержания:
«18.1) Идентификатор - уникальное обозначение информации о лице,
которое требуется для идентификации такого лица с использованием
технических и (или) технологических методов;
18.2) идентификация, аутентификация по лицу - комплекс мероприятий
по установлению идентификаторов и (или) информации о человеке,

сопоставлению этой информации с идентификатором или проверке этой
информации, а также по проверке принадлежности человека к
идентификатору (идентификаторам) путем сравнения идентификатор
(идентификаторы) с доступной информацией о лице, а также установление
действительности использования этим идентификатором
(идентификаторами) лица, осуществляемого в соответствии с настоящим
Федеральным законом, иными федеральными законами.
3) дополнить статьями 14.2 — 14.3 следующего содержания:
«Статья 14.2. Цифровой профиль
1. Цифровой профиль - это совокупность сведений о гражданах и
юридических лицах, содержащихся в информационных системах
государственных органов и организаций, осуществляющих определенные
публичные полномочия в соответствии с федеральными законами, а также в
системе идентификации и регистрации, единой аутентификации.
Инфраструктура цифрового профиля - это набор информационных
систем в уникальной системе идентификации и аутентификации, которая
обеспечивает доступ к цифровому профилю.
2. Инфраструктура цифрового профиля создана для обмена
информацией в электронном формате между физическими лицами,
организациями, государственными учреждениями, мэриями.
3. С помощью инфраструктуры цифрового профиля, в том числе,
обеспечивается:
1) идентификация и аутентификация физических и юридических лиц;
2) доступ к цифровому профилю и доступность информации цифрового
профиля в электронном формате для физических и юридических лиц;
3) Предоставление и обновление по запросу государственных органов,
местных органов власти, организаций, осуществляющих определенные
государственные полномочия в соответствии с федеральным законом;

5) предоставлять информацию для формирования запросов на
получение государственных и муниципальных услуг или выполнение
государственных и муниципальных функций;
6) хранение информации о гражданах и юридических лицах, в том
числе о результатах оказания государственных и муниципальных услуг в
электронном виде, в порядке, установленном Правительством Российской
Федерации.
4. В случаях, предусмотренных законодательством Российской
Федерации, согласие гражданина или юридического лица на получение
информации о них с использованием инфраструктуры цифрового профиля не
требуется. В остальных случаях, предусматривающих получение
информации с использованием инфраструктуры цифрового профиля,
информация о гражданине или юридическом лице с использованием
инфраструктуры цифрового профиля предоставляется с согласия гражданина
или Корпорации.
5. Информация о гражданах и юридических лицах, хранящаяся в
инфраструктуре цифрового профиля, предоставляется и автоматически
обновляется государственными органами, организациями,
осуществляющими определенные государственные полномочия в
соответствии с федеральными законами, через единую межведомственную
систему электронного взаимодействия.
Государственные органы, организации, осуществляющие отдельные
государственные полномочия в соответствии с федеральными законами,
обязаны предоставлять в инфраструктуру цифрового профиля и обновлять
указанную информацию на постоянной основе в срок, не превышающий 15
секунд с момента внесения изменений в соответствующую информацию.
Ответственность в соответствии с законодательством Российской
Федерации за достоверность, полноту и актуальность предоставленной
информации несут указанные органы и организации.

6. Государственные органы, организации, осуществляющие
определенные государственные полномочия в соответствии с федеральными
законами, обязаны предоставлять информацию о гражданах и юридических
лицах, не содержащихся в инфраструктуре цифрового профиля, по запросу,
отправляемому с его использованием. Предоставление этой информации
осуществляется в электронном виде, через единую систему
межведомственного электронного взаимодействия, в срок не более 15 секунд
с момента подачи запроса.
7. Межведомственное информационное взаимодействие
осуществляется в целях оказания государственных и муниципальных услуг
по обмену документами и информацией, в том числе в электронной форме, в
соответствии с Федеральным законом «Об организации предоставления
государственных и муниципальных услуг».
8. Положение о цифровом профиле, порядок получения и
предоставления информации с использованием инфраструктуры цифрового
профиля, а также состав информации, хранящейся в инфраструктуре
цифрового профиля, определяются Правительством Российской Федерации.
9. Запросы от организаций на получение информации о гражданах и
юридических лицах, использующих инфраструктуру цифрового профиля,
выполняются как бесплатно, так и с возвратом денежных средств.
Правительство Российской Федерации вправе определять случаи, объем и
порядок внесения платежей для обработки соответствующих запросов.
В статью 14.3. Порядок идентификации и аутентификации лица
внесены следующие изменения:
1. В случаях, предусмотренных настоящим Федеральным законом,
иными федеральными законами, принятыми в соответствии с ними иными
правовыми актами Российской Федерации или субъекта Российской
Федерации либо по соглашению сторон, идентификация и удостоверение
личности лица могут быть осуществляется в том числе используется

основной документ, удостоверяющий личность гражданина Российской
Федерации на территории Российской Федерации
2. Требования к удостоверению личности гражданина, включая
допустимые формы удостоверения личности гражданина, состав полей
удостоверения личности гражданина и состав сведений, включенных в
удостоверение личности гражданина, порядок оформления , изменение и
исключение таких сведений, а также порядок прекращения действия
удостоверения личности гражданина, порядок использования удостоверения
личности гражданина устанавливаются Правительством Российской
Федерации.
3. Присвоение идентификаторов информации о физическом или
юридическом лице осуществляется в соответствии с федеральными
законами, которые введены в действие в соответствии с ними правовым
актом или соглашениями сторон.
4. При совершении и совершении гражданско-правовых сделок их
стороны вправе использовать идентификаторы по отношению друг к другу в
соответствии с заключенным между ними соглашением.
5. Если иное не предусмотрено федеральным законом, лица имеют
право идентифицировать и удостоверять личность физических и
юридических лиц с использованием информации, полученной от
организации.
6. Лицом, подтверждающим правильность идентификатора или ранее
проведенную идентификацию и аутентификацию лица, могут быть только:
а) кредитные организации, операторы мобильной радиотелефонной
связи, операторы связи, занимающие важное положение в сети связи общего
пользования, которые вправе самостоятельно оказывать услуги связи по
передаче данных;
б) операторы государственных информационных систем;
в) иные организации, отвечающие требованиям, установленным
Правительством Российской Федерации.

7. Предоставление организацией, указанной в части 6 настоящей
статьи, в целях идентификации и аутентификации физического лица
информации о нем допускается с согласия такого лица, которое может быть
предоставлено в форме, позволяющей подтвердить факт. о его получении.
8. Результат идентификации и аутентификации человека с
использованием средств информационных технологий может быть
подтвержден электронным документом, предоставленным через
информационную систему, которая обеспечивает удаленную идентификацию
и аутентификацию человека.
В статье 2 наблюдаются следующие изменения:
1) В статье 6 (5) части 1 слова «исполнение договора» заменены
словами «исполнение сделки»; слова «а также на заключение договора»
заменить словами «на заключение сделки»; слова «или договоренностей»
заменить словами «или сделок»; добавить следующий текст «а также для
согласования заключения соответствующей сделки»;
2) статью 9 дополнить пунктом 5.1 следующего содержания:
«5.1 При обработке персональных данных с использованием
инфраструктуры цифрового профиля, если для обработки персональных
данных требуется авторизация держателя персональных данных, держатель
персональных данных разрешает их обработку в инфраструктуре цифрового
профиля в форме подписанного электронного документа с усиленной
квалифицирующей электронной подписью»;
Теперь несколько моих рассуждений на все скопированное.
Во-первых, обнадеживает сам факт появления таких купюр. Объем
информации, которая сосредоточена в руках государства и корпораций,
стремительно растет и постепенно переходит в новое качество, позволяющее
управлять массами людей на новом уровне. И они даже ничего не заметят. И
здесь, конечно, здорово прописывать хоть какие-то алгоритмы доступа к
цифровому профилю гражданина государством, корпорациями и ДРУГИМИ
(какие еще и как их определять) организациями.

Так, в «современном мире» доступ к цифровым профилям будет и
главной силой, и основным источником денег.
Когда-то колонизаторы в колониях просто тупо грабили и
конфисковали все подряд, то неограниченный доступ колонизаторов к
рынкам сбыта стал признаком колонии, а теперь речь идет о том, что колония
- это страна, все цифровые данные и профили которых доступны кому-либо
для обработки и анализа. потом со стороны. Люди будут выполнять в своих
смартфонах только те действия, которые выгодны большим иностранным
дядям.
В России все еще есть надежда, что в законе будет налажен порядок и
доступ к цифровым профилям граждан, иначе жизнь станет неудобной.
Необходимо прямо в законе больше писать о технологиях
аутентификации. То есть они зарегистрировали свое согласие на обработку
персональных данных с помощью продвинутой ЭЦП. Но, на мой взгляд,
«идентификация, аутентификация по лицу» также должна требоваться
законом об использовании цифровой подписи. Ничего более надежного, чем
железная уловка плюс пароль из моей головы, пока не придумано.

3. Регулирование правовой деятельности в области защиты
персональных данных посредством методических документов ФСТЭК

России

Общую характеристику методических документов ФСТЭК России
приведем на рисунке 5.

Рисунок 5 – характеристика методических документов ФСТЭК России

Государственную систему защиты информации образуют: (см. рис. 6).

Рисунок 6 – Государственная система защиты информации

Если рассмотреть основные документы ФСТЭК России из
перечисленных выше, то можно увидеть, что в них отсутствует прямое
указание на использование исключительно сертифицированных средств
защиты информации, как это было в «Рекомендациях по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных» (утв. заместителем директора ФСТЭК
России 15.02.2008) и «Основных мероприятиях по организации и
техническому обеспечению безопасности персональных данных,
обрабатываемых в информационных системах персональных данных» (утв.

заместителем директора ФСТЭК России 15.02.2008). Начиная с приказа
ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и
способах защиты информации в информационных системах персональных
данных» (Зарегистрирован в Минюсте России 19.02.2010 № 16456), в
документах ФСТЭК России дано указание на использование средств защиты
информации, прошедших в установленном порядке процедуру оценки
соответствия (п. 2.1, 3.2 Приказа № 58).
Подчеркнем отдельный момент: ряд экспертов указывает, что Приказ
21 устанавливает требования по использованию исключительно
сертифицированных средств защиты информации. При этом эксперты
ссылаются на п. 12 Приказа 21. Однако, если рассмотреть указанный пункт,
то можно увидеть, что он дает право компании использовать
сертифицированные средства защиты информации, а не устанавливает
обязанность их использовать, т.к. формулировки, в которых упомянут
указанный пункт, оперируют аналогом «если». Т.е. если компания захочет
использовать сертифицированные средства защиты информации, то она
должна использовать средства защиты информации определенного класса,
уровня защищенности и/или уровня доверия.
Что такое процедура оценки соответствия, раскрывается в
Федеральном законе от 27.12.2002 № 184-ФЗ «О техническом
регулировании» (далее – 184-ФЗ).
Ст. 2 184-ФЗ дает определение оценки соответствия – прямое или
косвенное определение соблюдения требований, предъявляемых к объекту.
Ключевой нормой 184-ФЗ в отношении применяемых средств защиты
информации для защиты персональных данных является ст. 5. Указанная
статья определяет требования к особенностям технического регулирования в
отношении оборонной продукции (работ, услуг), поставляемой по
государственному оборонному заказу, продукции (работ, услуг),
используемой в целях защиты сведений, составляющих государственную
тайну или относимых к охраняемой в соответствии с законодательством

Российской Федерации иной информации ограниченного доступа, продукции
(работ, услуг), сведения о которой составляют государственную тайну,
продукции, для которой устанавливаются требования, связанные с
обеспечением безопасности в области использования атомной энергии,
процессов проектирования (включая изыскания), производства,
строительства, монтажа, наладки, эксплуатации, хранения, перевозки,
реализации, утилизации, захоронения указанной продукции. Как мы указали
выше, в соответствии с ч. 2 ст. 5 Федерального закона от 27.07.2006 № 149-
ФЗ «Об информации, информационных технологиях и о защите
информации» персональные данные относятся к информации ограниченного
доступа. Часть 1 ст. 5 184-ФЗ указывает, что «В отношении … продукции
(работ, услуг), используемой в целях защиты … относимых к охраняемой в
соответствии с законодательством Российской Федерации иной информации
ограниченного доступа… обязательными требованиями наряду с
требованиями технических регламентов являются требования,
установленные государственными заказчиками, федеральными органами
исполнительной власти, уполномоченными в области обеспечения
безопасности, обороны, внешней разведки, противодействия техническим
разведкам и технической защиты информации, государственного управления
использованием атомной энергии, государственного регулирования
безопасности при использовании атомной энергии, и (или)
государственными контрактами (договорами)».
В настоящий момент технические регламенты на средства защиты
информации в перечне действующих технических регламентов Росстандарта
отсутствуют, а положения постановления Госстандарта России от 30.01.2004
№ 4 «О национальных стандартах Российской Федерации» не
распространяются на область применения средств защиты информации для
защиты персональных данных.
Часть 2 ст. 5 184-ФЗ указывает, что «Особенности технического
регулирования в части разработки и установления обязательных требований

… федеральными органами исполнительной власти, уполномоченными в
области обеспечения безопасности,… противодействия техническим
разведкам и технической защиты информации, … в отношении продукции
(работ, услуг), указанной в пункте 1 настоящей статьи, а также
соответственно процессов ее проектирования (включая изыскания),
производства, строительства, монтажа, наладки, эксплуатации, хранения,
перевозки, реализации, утилизации, захоронения устанавливаются
Президентом Российской Федерации, Правительством Российской
Федерации в соответствии с их полномочиями». Руководствуясь указанной
нормой, обратимся к Постановлению 608. Рассмотрев указанное положение,
можно увидеть, что оно регулирует сертификацию средств защиты
информации, используемых для защиты сведений, составляющих
государственную тайну.
Кроме указанного положения в отношении информации ограниченного
доступа было также принято постановление Правительства Российской
Федерации от 15.05.2010 № 330 «Об особенностях оценки соответствия
продукции (работ, услуг), используемой в целях защиты сведений,
относимых к охраняемой в соответствии с законодательством РФ
информации ограниченного доступа, не содержащей сведения,
составляющие государственную тайну, а также процессов ее проектирования
(включая изыскании), производства, строительства, монтажа, наладки,
эксплуатации, хранения, перевозки, реализации, утилизации и захоронения,
об особенностях аккредитации органов по сертификации и испытательных
лабораторий (центров), выполняющих работы по подтверждению
соответствия указанной продукции (работ, услуг)» (пометка ограничения
ДСП) (далее – ПП 330). Но применимость ПП 330 на область защиты
персональных данных компаниями подвергается сомнению, т.к. документы с
пометкой ДСП нарушают одно из ключевых требований 152-ФЗ, а именно
публичность требований, что закрепляется ч. 2 ст. 4 152-ФЗ: «На основании и
во исполнение федеральных законов государственные органы, Банк России,

органы местного самоуправления в пределах своих полномочий могут
принимать нормативные правовые акты, нормативные акты, правовые акты
(далее - нормативные правовые акты) по отдельным вопросам, касающимся
обработки персональных данных. Такие акты не могут содержать положения,
ограничивающие права субъектов персональных данных, устанавливающие
не предусмотренные федеральными законами ограничения деятельности
операторов или возлагающие на операторов не предусмотренные
федеральными законами обязанности, и подлежат официальному
опубликованию».
Возникает вопрос: если постановлениями Правительства Российской
Федерации и отдельными нормативно-правовыми актами федеральных
органов исполнительной власти не установлено применение исключительно
сертифицированных средств защиты информации, то какие еще формы
оценки допустимы? В ч. 3 ст. 7 184-ФЗ указано: «Оценка соответствия
проводится в формах государственного контроля (надзора), испытания,
регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию
объекта, строительство которого закончено, и в иной форме». Так как для
компании, планирующей применять средства защиты информации, формы
оценки соответствия в виде государственного контроля (надзора), ввода в
эксплуатацию объекта, строительство которого закончено, невозможны, то
рассмотрим оставшиеся [ 6 ].
Рассмотрим форму «Подтверждение соответствия». Ст. 20 184-ФЗ
установлены следующие формы подтверждения соответствия:
 Добровольное подтверждение соответствия (ст. 21 184-ФЗ)
 Обязательное подтверждение соответствия (ст. 22 184-ФЗ).
Поскольку в п. 3 ч. 2 ст. 19 152-ФЗ устанавливается обязанность
применять средства защиты информации, прошедшие оценку соответствия,
то компания вынуждена идти по пути «Обязательного подтверждения
соответствия». Обязательное подтверждение соответствия в ст. 20 184-ФЗ
установлено в следующих формах:

 принятия декларации о соответствии (далее - декларирование
соответствия)
 обязательной сертификации.
Поскольку постановления Правительства Российской Федерации по
обязательной сертификации (постановления № 609 и № 330) не применимы в
области защиты персональных данных (рассмотрели выше), рассмотрим
форму Декларации о соответствии. Ч. 1 ст. 24 184-ФЗ устанавливает
следующие требований к декларированию соответствия:
 принятие декларации о соответствии на основании собственных
доказательств
 принятие декларации о соответствии на основании собственных
доказательств, доказательств, полученных с участием органа по
сертификации и (или) аккредитованной испытательной лаборатории (центра)
(далее – третья сторона).
Если изучить ст. 24, то увидим, что декларирование соответствия
может проводиться только на соответствие положениям технического
регламента. Поскольку технические регламенты на средства защиты
информации отсутствуют (см. выше), то указанный подход не применим.
Рассмотрим вариант в форме регистрации. На настоящий момент
какого-либо нормативно-правового акта, определяющего условия оценки
соответствия в форме регистрации для средств защиты информации (пример
норм – IX раздел приказа Ростехнадзора от 06.02.2018 № 52 «Об
утверждении федеральных норм и правил в области использования атомной
энергии "Правила оценки соответствия продукции, для которой
устанавливаются требования, связанные с обеспечением безопасности в
области использования атомной энергии, а также процессов ее
проектирования (включая изыскания), производства, строительства, монтажа,
наладки, эксплуатации, хранения, перевозки, реализации, утилизации и
захоронения») не определено. Таким образом, для компании остаются

возможными следующие формы оценки соответствия: испытания, приемка и
иная форма.
Отдельных требований к указанным формам 184-ФЗ не определяет, а
значит, компания сама может определить, как она их проведет, но соблюдая
условие ст. 3 (прямое или косвенное определение соблюдения требований,
предъявляемых к объекту). Доказательством данного вывода являются
положения, которые стали развитием идеи и опыта, полученных в рамках
приказа 21, а именно требований п. 28 приказа ФСТЭК России от 25.12.2017
№ 239 «Об утверждении Требований по обеспечению безопасности
значимых объектов критической информационной инфраструктуры
Российской Федерации»: «…Средства защиты информации, прошедшие
оценку соответствия в форме обязательной сертификации, применяются в
случаях, установленных законодательством Российской Федерации, а также в
случае принятия решения субъектом критической информационной
инфраструктуры.
В иных случаях применяются средства защиты информации,
прошедшие оценку соответствия в форме испытаний или приемки, которые
проводятся субъектами критической информационной инфраструктуры
самостоятельно или с привлечением организаций, имеющих в соответствии с
законодательством Российской Федерации лицензии на деятельность в
области защиты информации…».
Дополнительный вопрос, который необходимо также рассмотреть – это
форма оценки соответствия средств защиты в случаях определения
актуальными типа актуальных угроз, связанные с наличием
недокументированных (недекларированных) возможностей в программном
обеспечении, используемом в информационной системе (п. 6 Постановления
1119).
С 01.01.2021 произошли ключевые изменения, связанные с признанием
актуальными данных типов угроз. Это связано с тем, что вступили в силу
положения приказа ФСТЭК России от 14.05.2020 № 68 «О внесении

изменений в Состав и содержание организационных и технических мер по
обеспечению безопасности персональных данных при их обработке в
информационных системах персональных данных, утвержденные приказом
Федеральной службы по техническому и экспортному контролю от 18
февраля 2013 г. № 21», которые отменили абзац 11 п. 12 приказа 21. Ранее
указанный абзац устанавливал следующие требования: «Для обеспечения 1 и
2 уровней защищенности персональных данных, а также для обеспечения 3
уровня защищенности персональных данных в информационных системах,
для которых к актуальным отнесены угрозы 2-го типа, применяются
сертифицированные средства защиты информации, программное
обеспечение которых прошло проверку не ниже чем по 4 уровню контроля
отсутствия недекларированных возможностей». Т.е. если в отношении иных
функций средств защиты информации компании могли определять форму
оценки соответствия, то в случае со 2-м типом актуальных угроз нет, только
сертификация на соответствие положениям РД НДВ.
Теперь же (после 01.01.2021) в случае признания актуальными данных
типов угроз компаниям необходимо будет использовать/реализовать
определенные меры защиты, которые указаны в п. 11 приказа 21.

4. Регулирование правовой деятельности в области защиты
персональных данных посредством методических документов ФСБ

России

Если рассмотреть действующие документы ФСБ России, то можно
увидеть, что они не устанавливают форму оценки соответствия в виде
сертификации. В положениях Приказа 378 (пп. «г» п.5) фигурирует
требование – использование средств защиты информации, прошедших
процедуру оценки соответствия требованиям законодательства Российской
Федерации в области обеспечения безопасности информации, в случае, когда
применение таких средств необходимо для нейтрализации актуальных угроз.
Однако, кроме требования по оценке соответствия в п. 4 приказа 378 указано,
что эксплуатация средств криптографической защиты (далее – СКЗИ) должна
осуществляться в соответствии с документацией на СКЗИ и требованиями,
установленными в настоящем документе, а также в соответствии с иными
нормативными правовыми актами, регулирующими отношения в
соответствующей области [ 5 ].
Соответствующее разъяснение о применимости документов, связанных
с криптографической защитой в области обеспечения безопасности
персональных данных, было дано ФСБ России – Информация ФСБ России от
21.06.2016 «О нормативно-методических документах, действующих в
области обеспечения безопасности персональных данных». Документом,
определяющим условия эксплуатации СКЗИ, является – ПКЗ-2005. В ПКЗ-
2005 указано:
 п. 43. – СКЗИ реализуются (распространяются) вместе с
правилами пользования ими, согласованными с ФСБ России
 п. 46 – СКЗИ эксплуатируются в соответствии с правилами
пользования ими. Все изменения условий использования СКЗИ, указанных в
правилах пользования ими, должны согласовываться с ФСБ России и

специализированной организацией, проводившей тематические исследования
СКЗИ.
Кроме этого, ФСБ России 15.06.2017 дано разъяснение «О
неукоснительном соблюдении операторами персональных данных
требований формуляров на СКЗИ».
В своей практике я ни разу не встречал не сертифицированных СКЗИ,
предназначенных для защиты персональных данных, где ФСБ России
согласовало бы правила эксплуатации без проведения сертификации
указанного средства. Дополнительно необходимо отметить, что рядом
экспертов указывается, что ФСБ России выпущено информационное письмо
(Извещение по вопросу использования несертифицированных средств
кодирования (шифрования) при передаче сообщений в информационно-
телекоммуникационной сети «Интернет»), информирующее, что отсутствуют
обязательные требования по сертификации СКЗИ, не предназначенных для
защиты информации, содержащей сведения, составляющие государственную
тайну. Однако, если рассмотреть указанное письмо, то мы увидим, что:
1) в извещении нет указания на персональные данные;
2) рассматривается исключительно одна форма оценки соответствия
СКЗИ – обязательная сертификация.

Заключение

В итоге, в данной работе был проведен комплексный анализ
нормативных и методических документов в области защиты персональных
данных, в частности, таких документов, как: Федеральный закон Российской
Федерации от 27 июля 2006 года № 149- ФЗ «Об информации,
информационных технологиях и о защите информации» и Приказов ФСТЭК
и ФСБ России.
А также, были отражены современные новеллы, которые были внесены
в вышеуказанные документы.

Список использованных источников

1. «Об информации, информационных технологиях и о защите
информации»: федеральный закон Российской Федерации от 27.07.2006 №
149-ФЗ: (ред. от 01.07.2021) // КонсультантПлюс. Технология 3000:
Интернет-версия [Электронный ресурс] / ЗАО «КонсультантПлюс». –
Электрон. дан. и прогр. – М., 2021.
2. НАУЧНО-ИССЛЕДОВАТЕЛЬСКАЯ РАБОТА (ПОДГОТОВКА
ВЫПУСКНОЙ КВАЛИФИКАЦИОННОЙ РАБОТЫ): ПРОГРАММА:
Направление подготовки 27.04.05 Инноватика / Направленность система
менеджмент качества: Уровень магистратуры / Сост. Л.В. Латыпова –
Сургут: РИО БУ «Сургутский государственный педагогический
университет», 2020. – 30 с.
3. «Базовая модель угроз безопасности персональных данных при
их обработке в информационных системах персональных данных», ФСТЭК
от 15.02.2008: (ред. от 09.01.2008) // ФСТЭК: Интернет-версия [электронный
ресурс]. – Электрон. дан. и прогр. – М., 2018.
4. «Об Утверждении состава и содержания организационных и
технических мер по обеспечению безопасности персональных данных при их
обработки в информационных системах персональных данных»: приказ
ФСТЭК от 18.02.2013 г. № 21: (ред. от 14.11.2017) // ФСТЭК: Интернет-
версия [электронный ресурс]. – Электрон. дан. и прогр. – М., 2018.
5. Интернет-ресурс https://habr.com/ru/post/450048/
6. Интернет-ресурс https://www.securityvision.ru/blog/prakticheskaya-
zashchita-personalnykh-dannykh-chto-takoe-sredstva-zashchity-informatsii-
proshedshie-/