• Нові нормативи безпеки при обробці персональних даних суперечать федеральному законодавству, вводять неоднозначну термінологію, і в цілому нездійсненні, впевнені експерти.
    Експерти з інформаційної безпеки без ентузіазму зустріли підписання Дмитром Медведєвим нових нормативів обробки персональних даних, що містяться у постанові глави уряду носить №1119.
    Керуючий партнер агентства «Емельянников, Попова і партнери» Михайло Емельянников нагадує, що постанова №1119 «Про затвердження вимог до захисту персональних даних при їх обробці в інформаційних системах персональних даних» містить «характерні для останніх регламентуючих документів в області інформаційної безпеки взагалі і персональних даних зокрема проблеми та недоліки».
    Воно активно критикував фахівцями-практиками ще на етапах підготовки документа, обговорення та оцінки регулюючого впливу, однак, думка професіоналів так і не було почуто, жалкує експерт.
    Нагадаємо, що постанова №1119 було підписано Дмитром Медведєвим 1 листопада 2012 р.
    «Зміст постанови не відповідає вимогам ФЗ «Про персональних даних», - говорить експерт. Цей закон доручав уряду встановити рівні захищеності персональних даних при їх обробці в інформаційних системах і вимоги, виконання яких забезпечує встановлені рівні захищеності, у тому числі з урахуванням можливої шкоди суб'єкту персональних даних, змісту і обсягу оброблюваних персональних даних, виду діяльності, при здійсненні якої обробляються персональні дані, актуальності загроз безпеки персональних даних. Проте в постанові не вказано способи і порядок обліку можливої шкоди суб'єкту і виду діяльності оператора при реалізації захисних заходів. Ця робота перекладається на самого оператора, у якого, як правило, для цього немає ні фахівців, ні належного розуміння питання.
    Масу запитань викликає використовувана в «Вимоги» класифікація можливих типів загроз безпеці в залежності від наявності недекларірованних можливостей (НДВ) в системному та прикладне програмне забезпечення. При цьому ніяких вимог до сертифікації операційних систем і додатків, обробних персональні дані, ні в постанові, ні в інших нормативних актах не висувається, а засоби захисту інформації, навіть і пройшли оцінку відповідності у формі обов ’ язковій сертифікації, загрози використання зловмисником недекларірованних можливостей (НДВ) ніяк не нейтралізують і нейтралізувати не можуть. У чому тоді сенс виділення саме цих типів загроз і як з ними боротися, залишається незрозумілим, дивується Емельянников.
    Саме поняття недекларірованних можливостей для абсолютної більшості операторів є незрозумілим, і абсолютно незрозуміло, як вони будуть самостійно оцінювати актуальність для себе подібних загроз. Сумнівною видається радикальне вплив на безпеку персональних даних таких пропонованих постановою заходів, як призначення посадової особи або створення структурного підрозділу, відповідальних за забезпечення безпеки персональних даних в інформаційній системі. Як це позначиться на можливості нейтралізації загроз використання недекларірованних можливостей операційних систем і додатків, на думку експерта, абсолютно не зрозуміло.
    «Вимоги оперують термінами, визначення яких відсутні. Так, незрозуміло, що мається на увазі під електронним журналом повідомлень (п.15 вимог) та електронним журналом безпеки (п.16 вимог). Це одні і ті ж журнали або різні? Якщо мова йде про логах, то про яких - операційної системи, додатків, засобів захисту інформації? Всіх або частини з них? Відповідей на ці питання у документі немає», - продовжує Емельянников.
    Не використовується в російському законодавстві, у тому числі в трудовому, термін «співробітники оператора», Постановою це поняття вводиться, але не дається його визначення.
    Постанову вводить відсутнє в законі 152-ФЗ поняття «загальнодоступні персональні дані», до того ж зводять їх тільки до зазначеним у ст.8 (загальнодоступні джерела). Відомості, які підлягають обов'язковому опублікуванню і розкриттю, під цю категорію не підпадають, як і відомості з ЕГРЮЛ і ЕГРІП, є загальнодоступними у відповідності з Федеральним законом про державну реєстрацію юридичних осіб і індивідуальних підприємців. Як бути з ними, знову залишається неясним.
    Раніше ІБ-експерт Олексій Лукацький у своєму блозі висловлював занепокоєння, що при дотриманні букви постанови стає незаконним використання мобільних пристроїв для персональних даних: навіть для мінімального рівня захищеності постанова встановлює режим безпеки, при якому планшет з персональними даними повинен знаходитися в приміщенні, куди сторонні не мають доступу.
    Таким чином, стає неможливим використання планшетів і інших мобільних пристроїв співробітниками ДІБДР, митниками або лікарями, які працюють поза особливих особливо охоронюваних приміщень. Крім того, під питанням виявляється можливість організації точок продажів у торговельних або дилерських центрах, тобто поза офісу організації, де вона могла б забезпечити предписываемый законом рівень захищеності персональних даних.
    «Не можу не погодитися з Олексієм Лукацким в тому, що «Вимоги» фактично забороняють використовувати для обробки персональних даних мобільні пристрої поза контрольованої оператором території», - говорить Михайло Емельянников.
    Документ містить обов'язкове для всіх рівнів захищеності вимога про такому режимі безпеки приміщень, в яких розміщена інформаційна система, при якій неможливо проникнення або перебування в них сторонніх осіб. Між тим будь-який сучасний мобільний телефон або комунікатор це вже інформаційна система персональних даних, не кажучи вже про планшетах і ноутбуках, зауважує експерт.
    Нарешті, говорить експерт, постанова зможе заробити в повному обсязі тільки після прийняття відповідних актів ФСБ, ФСТЭК, передбачених ч.4 ст.19 152-ФЗ, а також федеральними органами виконавчої влади, що здійснюють функції з вироблення державної політики і нормативно – правового регулювання у встановленій сфері діяльності, органів державної влади суб'єктів Російської Федерації, Банку Росії, органів державних позабюджетних фондів, інших державних органів у частині визначення актуальних загроз безпеки персональних даних (ч.5 ст.19 152-ФЗ, п.2 Вимог), які відсутні і невідомо коли будуть прийняті.
    До прийняття додаткових актів операторові персональних даних практично неможливо виконати вимоги, встановлені постановою №1119, резюмує експерт.