Еще раз о требованиях по защите персональных данных

Аватар пользователя avetyan
Автор: Аветян Артем,
(0)
()
Никак не думал, что эта тема будет настолько непонятна и потребует столь подробного разжевывания, однако...
В прошлый раз были мысли вставить картинку, но строго следуя логике закона, сформулировал путь, по которому будет определяться конкретный состав и содержание требований по защите информации в информационных системах персональных данных, пришел к выводу что все и так довольно просто... ан нет.
Сразу оговорюсь, что я исключил из рассмотрения правовой модели регулирования категорию "вред", так как она является этической и не может быть вписана в структуру требований, кроме как путем включения оценки потенциального вреда в один из формальных, поддающихся классификации параметров, таких как содержание персональных данных, характер и способы их обработки. Иными словами, оценка вреда включена в классификацию (оценку) характера ПДн и используемых при их обработке алгоритмов и способов их реализации.



И так, что же случится в ближайшем будущем?

1) Правительство должно будет определить набор уровней защищенности персональных данных при их обработке в ИСПДн.

Уровень защищенности - это априорный показатель устойчивости информационной системы, связанный с ее архитектурой, сложностью технической реализации, сложностью реализуемых ей алгоритмов автоматизированной обработки персональных данных, чувствительностью и объемом этих данных, числом субъектов данных, а также актуальных для отрасли угроз. Сложность реализуемых алгоритмов, чувствительность и объем данных, а также число субъектов данных как раз и определяют потенциальный вред субъекту и обществу.

На основании уровней защищенности и будут определяться требования к защите - это требования по реализации определенных защитных технологий в информационной системе (например, требование наличия межсетевого экранирования и КЗ каналов связи).

2) Далее ФСБ и ФСТЭК определят конкретный состав и содержание требований к защите - конкретные параметры реализации необходимых защитных технологий (например, конкретный класс межсетевого экрана и СКЗИ).

3) Ведомства создают по сути отраслевые модели угроз, в частности, на основе которой, документами Правительства будет определяться априорный уровень защищенности.

4) Оператору останется только оценить свои ИСПДн в соответствии с документами Правительства по сложности алгоритмов обработки, объему и характеру данных, после чего с учетом отраслевой модели угроз определить априорный уровень защищенности его ИСПДн. Затем определить необходимые требования к защите и конкретный состав и содержание этих требований.
Оцените материал:
Total votes: 59
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.