Что делать операторам ПДн, если проект приказа ФСТЭК будет принят в нынешнем виде?

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(2)
()

По мнению многих специалистов, при формировании окончательного текста проекта приказа ФСТЭК России «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» замечания специалистов если и будут внесены, то это незначительно изменит основные требования данного нормативного акта.

Как вести себя в этом случае операторам ПДн? Мнения экспертов по этому поводу:

Алексей Волков, независимый эксперт и блоггер

Требования законодательства выполнять все равно нужно – от этого никуда не деться. А в остальном – документ, с огромной долей вероятности, будет изменен и дополнен: пока по-прежнему непонятно, как моделировать угрозы НДВ, нет в явном виде и «мер», снижающих актуальность угроз, связанных с НДВ. Что касается пункта 5 – согласно ч. 2 ст. 4 152-ФЗ, ведомственные НПА не могут содержать положения, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. Кто победит в войне неоднозначностей – большой вопрос. Есть, конечно, постановление правительства № 330, но оно носит гриф ДСП и потому не может участвовать в нормотворческой деятельности, касающейся ПДн. Аналогичный пример - Роскомнадзор, из-за несоответствия административного регламента по ПДн закону 294-ФЗ в части оснований для проведения внеплановых проверок, регулярно проигрывает в суде операторам. Если документ примут без изменений в этой части - возможно, будет иметь место та же картина.

Андрей Прозоров

Андрей Прозоров, эксперт департамента комплексных решений IBS Platformix

Рекомендую внедрять лишь самые необходимые меры защиты, реально повышающие защиту ПДн (да и вообще информации). Особое внимание обратите на модель угроз, с помощью нее вы можете попытаться снизить перечень необходимых требований.

Сергей Борисов

Сергей Борисов, ведущий специалист ИБ в Микротест

Документ разработан ФСТЭКом для галочки, в соответствии с 152-ФЗ и ПП 1119 и совершенно бесполезен большинству операторов ПДн.

Николай Антипов

Николай Антипов, ведущий консультант инженерно-аналитической группы Softline

В первую очередь необходимо дождаться выхода аналогичного документа устанавливающего четкие требования к уровням защищенности от ФСБ России, который также должен появиться в декабре. И уже при наличии официальных требований от обоих регуляторов проектировать систему защиты.

Что касается рассматриваемого проекта, даже если в него не будут внесены существенные изменения, в этом нет ничего страшного, т.к. большинство описываемых требований относится, скорее, к производителям средств защиты информации и касаются их функционала, а не к операторам. Требования же, предъявляемые к операторам, вполне выполнимы.

 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.