В связи с имеющими место фактами ненадлежащего хранения и уничтожения кредитными организациями документов, содержащих ПДн граждан, Центральный банк выпустил письмо от 14.03.2014 №42-Т «Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан».
Письмо предписывает кредитным организациям актуализировать внутренние документы, определяющие порядок хранения и уничтожения документов, содержащих ПДн, персональную ответственность работников кредитных организаций, осуществляющих обработку ПДн, а также условия, обеспечивающие конфиденциальность ПДн и сохранность материальных носителей ПДн. Согласно письму ЦБ, данная мера направлена на снижение операционного, правового и репутационного рисков кредитным организациям.
Обновление сертифицированных СрЗИ
ФСТЭК России опубликовал еще один новый проект методического документа «Рекомендации по обновлению сертифицированных средств защиты информации», предназначенный для заявителей на осуществление сертификации СрЗИ, испытательных лабораторий и органов по сертификации, при проведении ими работ по обеспечению соответствия СhЗИ требованиям безопасности информации, а также для пользователей СрЗИ.
Документ устанавливает следующие 4 типа обновления СрЗИ:
— 1 тип — обновление баз данных, необходимых для реализации функций безопасности средства защиты информации (обновление баз сигнатур вирусов средств антивирусной защиты, баз сигнатур уязвимостей средств контроля (анализа) защищенности, баз решающих правил систем обнаружения вторжений и других);
— 2 тип — обновление, направленное на устранение уязвимостей средства защиты информации;
— 3 тип — обновление, направленное на добавление функции (функций) безопасности средства защиты информации, на совершенствование реализации функции (функций) безопасности средства защиты информации, на расширение числа поддерживаемых программных и аппаратных платформ;
— 4 тип — обновление, не влияющее на безопасность средства защиты информации (изменение интерфейса средства защиты информации, иных функций, не влияющее на функции безопасности средства защиты информации).
Кроме того, в документе определяется порядок работы с обновлениями различных типов, включая сроки доведения до пользователей информации о необходимости обновления, получения обновлений, проведения инспекционного контроля и проч.
Вместе с положительной оценкой проекта нового документа в части решения противоречия между необходимостью обновления и подтверждения неизменности сертифицированных СрЗИ, экспертами отмечается и ряд недостатковдокумента, связанных с недостаточностью проработанности порядка взаимодействия между всеми участниками процесса обновления.
Изменения законодательства о коммерческой тайне
В прошедшем месяце был утвержден Федеральный закон от 12.03.2014 № 35-ФЗ «О внесении изменений в части первую, вторую и четвертую Гражданского кодекса Российской Федерации и отдельные законодательные акты Российской Федерации», вступающий в силу с первого октября текущего года. Основная часть правок касается регулирования в области авторского, патентного права и защиты интеллектуальных прав, однако, помимо прочего документ вносит правки в закон № 98-ФЗ «О коммерческой тайне».
В соответствии с внесенными правками, прежде всего, меняется само определение понятия информации, составляющей коммерческую тайну. Так, теперь вместо формулировки «информация, составляющая секрет производства (ноу-хау)» теперь используется «информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам».
Кроме того, добавилась статья 6.1, устанавливающая следующие права обладателя информации, составляющей коммерческую тайну:
— устанавливать, изменять, отменять в письменной форме режим коммерческой тайны;
— использовать информацию, составляющую коммерческую тайну, для собственных нужд;
— разрешать или запрещать доступ к информации, составляющей коммерческую тайну, определять порядок и условия доступа к этой информации;
— требовать от юридических и физических лиц, гос. органов, получивших доступ к информации, составляющей коммерческую тайну, соблюдения обязанностей по охране ее конфиденциальности;
— требовать от лиц, получивших доступ к информации, составляющей коммерческую тайну, случайно или по ошибке, охраны конфиденциальности этой информации;
— защищать свои права в случае разглашения, незаконного получения или незаконного использования информации, составляющей коммерческую тайну, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав.
Изменения коснулись и 11-ой статьи закона, определяющей порядок охраны конфиденциальности информации в рамках трудовых отношений. Вновь (после изменений 2006 года) возвращены обязательства работников по возмещению убытков, причиненных работодателю, в случае разглашения информации, составляющей коммерческую тайну. При этом возмещение убытков предусмотрено и для бывших работников организации, разгласивших информацию в течение срока действия режима коммерческой тайны.
По мнению экспертов данные правки могут способствовать более активному принятию мер по защите коммерческой тайны со стороны ее обладателей.
ISO 9001 для государственного сектора
В конце февраля Международная организация по стандартизации ISO (International Organization for Stardatization) выпустила первый стандарт для госсектора ISO 18091:2014 Quality management systems — Guidelines for the application of ISO 9001:2008 in local government, представляющий собой рекомендации по применению стандарта ISO 9001:2008 для местных органов власти. Данный стандарт направлен на полномасштабную самоорганизацию местных органов власти с акцентом на непрерывное улучшение. В соответствии с новым документом ISO местные органы власти рассматриваются в качестве важнейших поставщиков услуг, также нуждающихся в реализации системы управления качеством.
Словарь ISO
Британский институт стандартов BSI (British Standards Institution) опубликовал проект новой версии стандарта ISO 5127 Information and documentation — Vocabulary, определяющего основные термины и определения, относящиеся к области информации и документации. Всего стандарт содержит около 2000 определений, сгруппированных в следующие 7 блоков:
— Основные термины.
— Документы, носители информации и их составляющие.
— Учреждения, занимающиеся хранением документов.
— Процесс документирования.
— Использование информации и документов.
— Хранение документов.
— Правовые аспекты информации и документации.