💡Вопрос: 233-ФЗ от 08.08.2024 дополнил ч.2 ст.19 152-ФЗ новым п.3.1, согласно которому обеспечение безопасности ПД достигается, в частности, применением для уничтожения ПД прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (СЗИ), в составе которых реализована функция уничтожения информации. в каких случаях для уничтожения ПД необходимо применять прошедшие в установленном порядке процедуру оценки соответствия СЗИ, в составе которых реализована функция уничтожения информации?

👁 Мнение Privacy Advocates:

🔸Обращает на себя внимание, что требование об использовании СЗИ для уничтожения ПД:
1️⃣ не распространяется на обработку ПД, осуществляемую без использования средств автоматизации;
2️⃣ определено как мера по обеспечению безопасности ПД при их обработке (ст.19 152-ФЗ), а не как мера, направленная на обеспечение выполнения оператором предусмотренных 152-ФЗ обязанностей (ст.18.1 152-ФЗ), или как обязанность оператора по обеспечению надлежащего уничтожения ПД (ст.21 152-ФЗ);
3️⃣ не отнесено Минцифрой и РКН к собственной компетенции (см. прикрепленные к посту ответы ведомств).

👉Пункт 33 проверочного листа, применяемого РКН при осуществлении федерального государственного контроля (надзора) за обработкой ПД (утв. приказом РКН от 24.12.2021 №253), предусмотрена проверка РКН только факта выполнения оператором организационных мер для защиты ПД от неправомерных действий – в рамках требования ч.1 ст.19 152-ФЗ, т.е. РКН в принципе не проверяет выполнение оператором технических мер защиты ПД в рамках ч.2 ст.19 152-ФЗ

🔸Согласно п.4 ПП-1119 от 01.11.2012 выбор СЗИ для системы защиты ПД осуществляется оператором в соответствии с нормативными правовыми актами, принятыми ФСБ и ФСТЭК во исполнение ч.4 ст.19 152-ФЗ. В пп.«г» п.13 ПП-1119 и п.4 приказа ФСТЭК от 18.02.2013 №21 предусмотрено, что для обеспечения 4-го и более высоких уровней защищенности ПД при их обработке в ИСПД применяются СЗИ, прошедшие в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПД.

🔸Разделом 4 Приложения к приказу ФСТЭК №21 предусмотрена только одна мера по обеспечению безопасности ПД путем их уничтожения – ЗНИ.8 «Уничтожение (стирание) или обезличивание ПД на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания».

🔸СЗИ, в составе которых реализована функция уничтожения информации, из Государственного реестра сертифицированных СЗИ:
• ПО «Secret Net Studio» (ООО «Код Безопасности»);
• ПО «TERRIER версия 3.0» (АО «ЦБИ-сервис»);
• ПАК «Прибой Модуль-3.5» (ООО «Компьютерные сервисные устройства»);
• ПАК «Стек-НС3» (ООО «Анна»).

👀 Но это не конец истории: скоро поделимся с вами разъяснениями от ФСТЭК и ФСБ. Stay tuned!