Без паники

Аватар пользователя avetyan
Автор: Аветян Артем,
(0)
()
Чуть больше недели назад президент подписал поправки в закон «О персональных данных», и что бы ни говорили, лично мне внесенные изменения большей частью нравятся - закон объективно стал более четким в своих формулировках и, что самое главное - понятным. Наиболее существенные изменения коснулись статьи 19, описывающей меры по обеспечению безопасности. Статья разрослась раза в три, а в результате система государственного регулирования этой сферы правоотношений сильно изменилась и усложнилась. Не берусь оценивать хорошо это или плохо – очевидно, что многое, как и прежде, будет зависеть от подзаконных актов. 

Первое что бросается в глаза, это внесение в текст закона, в качестве возможных, тех мер по защите, которые раньше были прописаны в ПП 781 и 58 приказе, а именно:
 

  • построение системы защиты информации на основе модели угроз;
  • применения СЗИ прошедших оценку соответствия (см. закон «О техническом регулировании»);
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учет машинных носителей;
  • обнаружение фактов НСД;
  • восстановление ПДн после НСД (читай: контроль целостности, резервное копирование);
  • управление доступом в ИСПДн, а также регистрация и учет фактов доступа;
  • контроль реализации защитных мер и эффективности системы защиты (аудит, самооценка).

Но самое важное начинается с части третьей: статья вводит следующих субъектов, уполномоченных устанавливать нормы, влияющие прямо или косвенно на суть необходимых правовых, организационных и технических мер по защите персональных данных, принимаемых операторами:
 

  • Правительство РФ;
  • ФСБ и ФСТЭК;
  • Ведомства (отраслевые министерства, службы, агентства и госфонды);
  • Сами операторы (через ассоциации, союзы и иные организации).

Попробуем максимально доступно описать роли каждого.

Правительство РФ устанавливает уровни защищенности и соответствующие требования к защите, которыми эти уровни обеспечиваются. Есть соблазн соотнести эти уровни с классами ИСПДн по приказу трех, это будет не верно. Класс ИСПДн определялся исходя из возможного ущерба – прямого или косвенного субъекту или обществу в целом, а за аргументы брались следующие показатели: число субъектов и чувствительность данных. Так было и для типовых и, де-факто, для специальных ИСПДн, хотя формально на класс специальной влияли еще и актуальные угрозы, но методики, по которой это влияние можно были бы оценить, мы так и не увидели.

Аргументом для определения уровня защищенности стали актуальные угрозы:
 

  • Уровень защищенности = F(актуальные угрозы)

То есть, теперь, как мы видим, для определения необходимых мер защиты используются актуальные угрозы безопасности, которые в свою очередь зависят от отрасли, в которой работает оператор. Здесь я, с вашего позволения, пропущу ФСТЭК и ФСБ, и перейду к отраслевым ведомствам, которые будут следующими субъектами нормотворчества в цепочке, определяющей, по существу, обязанности операторов.

И так, ведомства определяют актуальные угрозы с учетом содержания, характера и способов обработки.
 

  • Актуальные угрозы = S(содержание, характер и способы обработки)

Под способами обработки, очевидно, подразумеваются те информационные технологии, которые реализует ИСПДн – то есть, (аллилуйя!!) конкретные необходимые защитные меры будут соотнесены со сложностью ИСПДн: для тупой СУБД и ERP системы они будут разными!
 

Далее, собственно сами операторы, через свои ассоциации, союзы и т.п. могут сами для себя определять дополнительные актуальные угрозы безопасности.
 

  • Актуальные угрозы = ведомственные АУ + операторские АУ

Теперь раскрутим сложившуюся часть цепочки:
 

  • УЗ = F(АУ) = F( S(содержание, характер и способы обработки) + операторские АУ) )

От определенного на предыдущем этапе уровня защищенности напрямую зависят предъявляемые требования к защите, состав и содержание которых определяются в свою очередь ФСТЭК и ФСБ в пределах их полномочий.

В итоге:

содержание, характер и способы обработки (операторы) => актуальные угрозы (ведомства и ассоциации) => уровень защищенности (Правительство) => требования к защите (Правительство) => состав и содержание требований (ФСБ и ФСТЭК).

Только от операторов зависит, насколько жесткие требования будут предъявляться – им решать, какие ПДн обрабатывать, какие информационные системы, и какой сложности эксплуатировать, ведь от сложности реализуемых информационных технологий и ответственности за обработку данных и принятие решений, перекладываемой с человека на программируемую логику - в конечном счете зависят и предъявляемые требования.

P.S. Еще одним важным выводом из всего этого будет то, что, на сегодняшний день, мы лишены вообще какой бы то ни было конкретной нормативки по обеспечению безопасности ПДн в автоматизированных ИСПДн, но как говорят, минкомсвязи обещается от себя родить что-нибудь за три месяца.

Оцените материал:
Total votes: 55
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.