Читаю проект постановления по
уровням защищенности. Хочу остановиться лишь на нескольких моментах.
1. Мне нравится преемственность
нового и старого подходов. Даже если в организациях еще ничего не сделано для
защиты ПДн, то уж классы-то ИСПДн должны быть определены. 152-ФЗ вышел аж в
2006 году и жалобы на его новизну уже надоели.
2. Установить уровни защищенности
вроде бы как хорошо. Более того такой переход позволит уменьшить расходы на
обеспечения защиты, т.к.:
- при К1 возможен и УЗ-2;
- при К2 возможен и УЗ-3.
Читаю документ еще раз и с
начала.
3. Уровни должны зависеть от
большего числа параметров ПДн, чем есть сейчас. Цитирую п.2 проекта постановления:
«Установить, что уровни защищенности персональных данных определяются оператором
или лицом, осуществляющим обработку персональных данных по поручению оператора,
в зависимости от угроз безопасности персональных данных с учетом возможного
вреда субъекту персональных данных, объема и содержания обрабатываемых
персональных данных, вида деятельности, при осуществлении которого
обрабатываются персональные данные, актуальности угроз безопасности
персональных данных»
В алгоритме определения уровня защищенности
почему-то не учитывается:
- возможный вред субъекту ПДн;
- вид деятельности оператора ПДн.
Это очень странно, т.к. об этих
сущностях говорили давно и долго, а пока получается как всегда. Остается лишь эти
понятия прописывать в модели угроз для того, чтобы снизить категории
нарушителей или же просто игнорировать.
Перечитайте или поиском по словам пройдитесь. Там оба фактора учтены. Но по-особенному.
ОтветитьУдалить