суббота, 28 апреля 2012 г.

Пару слов про уровни защищенности


Читаю проект постановления по уровням защищенности. Хочу остановиться лишь на нескольких моментах.
1. Мне нравится преемственность нового и старого подходов. Даже если в организациях еще ничего не сделано для защиты ПДн, то уж классы-то ИСПДн должны быть определены. 152-ФЗ вышел аж в 2006 году и жалобы на его новизну уже надоели.

2. Установить уровни защищенности вроде бы как хорошо. Более того такой переход позволит уменьшить расходы на обеспечения защиты, т.к.:
  • при К1 возможен и УЗ-2;
  • при К2 возможен и УЗ-3.
Читаю документ еще раз и с начала.

3. Уровни должны зависеть от большего числа параметров ПДн, чем есть сейчас. Цитирую п.2 проекта постановления:

«Установить, что уровни защищенности персональных данных определяются оператором или лицом, осуществляющим обработку персональных данных по поручению оператора, в зависимости от угроз безопасности персональных данных с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных»

В алгоритме определения уровня защищенности почему-то не учитывается:
  • возможный вред субъекту ПДн;
  • вид деятельности оператора ПДн.
Это очень странно, т.к. об этих сущностях говорили давно и долго, а пока получается как всегда. Остается лишь эти понятия прописывать в модели угроз для того, чтобы снизить категории нарушителей или же просто игнорировать.

1 комментарий:

  1. Перечитайте или поиском по словам пройдитесь. Там оба фактора учтены. Но по-особенному.

    ОтветитьУдалить