СЗПДн. Анализ. Проекты новых ПП РФ по защите ПДн 2 (UPDATE)

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()
Первая версия постановления правительства по защите ПДн, подготовленные ФСБ России и рассмотренная в одной из моих предыдущих заметок не прошла согласования в правительстве.


Вторая попытка ФСБ России подготовить постановления правительства по защите ПДн:

·         Проект ПП РФ «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных» (далее, Уровни)

·         Проект ПП РФ «О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных» (далее, Требования)

выложены на сайте ФСБ России для антикоррупционной экспертизы.



Основные мысли по документу Уровни:

·         вводится 4 уровня защищенности ПДн при их обработке в ИСПДн (1 - максимальные требования, 4 - минимальные);

·         вводится определение актуальности угроз (но не самих типов угроз) 1-ого, 2-ого и 3-его типов;

·         актуальный тип угроз определяет оператор с учетом совокупности условий,  факторов и оценки вреда (прорыв в том, что в явном виде модель угроз не требуется. В тоже время МУ вполне допустима на этом этапе);

·         вводится 4 типа ИСПДн:

o   ИСПДн обрабатывает специальные категории ПДн (ИСПДн-С)

o   ИСПДн обрабатывает биометрические ПДн (ИСПДн-Б)

o   ИСПДн обрабатывает общедоступные ПДн (ИСПДн-О)

o   ИСПДн обрабатывает иные категории ПДн (ИСПДн-И)

·         уровень защищенности определяется по следующей таблице




Замечания к документы Уровни:

1.       Определение из проекта ПП РФ Уровни пункт 1:

“в) информационная система обрабатывает общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»;”

противоречит определению из 152-ФЗ статья 6 часть 1:

“10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);”

и противоречит принципам из 152-ФЗ статья 18 часть 4:

“3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;”

Таким образом 152-ФЗ предусматривает 2 варианта попадания к оператору общедоступных ПДн: непосредственно от субъекта и из общедоступных источников. А ПП РФ Уровни предусматривает только один вариант получения общедоступных ПДн.


2.       Нет определения самих типов угроз, есть только определение актуальности

3.       Не определен уровень защищенности, когда количество субъектов равно 100 000.

4.       Не определены действия в той ситуации, когда сходя из специфики ИСПДн все угрозы будут неактуальными. Ситуация не подходит ни под один из трех типов актуальности угроз.



(UPDATE)

Основные мысли по документу Требования:

·        СЗИ необходимо выбирать в соответствии с актами ФСТЭК России и ФСБ России (будущими, так как в текущих нет упоминания уровней защищенности)

·        Кроме того в зависимости от уровня защищенности необходимо выполнять следующие общие требования, в соответствии с таблицей ниже



·        Контроль выполнения требований организуется и проводится Операторами самостоятельно или с привлечением лицензиатов (но не регуляторов).



Основные замечания по документу Требования:

1.      Пункт 5 а) сформулирован некорректно.

“а) Организовать режим обеспечения безопасности помещений, в которых размещена информационная система персональных данных, исключающий возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц”


Так как  ИСПДн – это совокупность в том числе информационных технологий, а технологии нельзя разместитьв помещениях. 
Некорректно будет применять данное требование к техническим средствам ИСПДн, так как технические средства не всегда находятся в помещениях Оператора (ноутбуки, планшеты, мобильные устройства).

Логичнее было бы потребовать “организовать режим в помещениях Оператора, в которых… или организовать режим безопасного доступа к техническим средствам ИСПДн


2.      Требования необходимо сформулировать в форме долженствования (должен быть назначен .., необходимо обеспечить …);




В общем, если замечания есть, то небольшие, которые легко исправить, так что не могу согласиться с коллегами – блогерами на счет “второй блин комом”.



На первый взгляд при 3 типе актуальных угроз УЗ и набор требований с ним связанных - небольшой. Есть возможность для оптимизации ИСПДн - и тут всё зависит от фантазии интегратора/консультанта.

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.