Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

ПП 1119. От теории к практике.

Аватар пользователя merced2001
Автор: Агеев Артем, itsec.pro
(0)
()
Опубликовано в:

Все уже вероятно прочитали про выход нового Постановления Правительства РФ от 1 ноября 2012 года N 1119 "Об утверждении требований к защите ПДн в ИСПДн", поэтому я обойду здесь философские вопросы стороной и поделюсь своими практическими наблюдениями.

Первое, что мне бросилось в глаза, это отсутствие классификации в новом ПП. В буквальном смысле. Слова "класс" и "классификация" больше не встречаются в документе. Да и сам документ написан в более... повелительном тоне. Такое ощущение, как будто все "может" заменили на "должен". 

Поэтому Акт классификации ИСПДн можно смело менять на Приказ об утверждении уровня защищённости ИСПДн. 

Для определения нужного уровня защищённости необходимо определить 3 входных параметра:

1. Тип ПДн в ИСПДн: специальные (убрали судимость!), биометрические, иные, общедоступные. 

Причем биометрические не могут быть и специальными, а вот все остальные типы видимо могут и пересекаться (например: общедоступные биометрические - фото на сайте - и т.д.).

2. Количество ПДн субъектов. Более 100 000 или менее 100 000. В категорию "менее 100 000" так же включены сотрудники РЖД, Газпрома и других организаций со штатом более 100 000 человек %).

3. Тип угроз: 1 - защищаемся от НДВ везде, 2 - защищаемся от НДВ только в прикладном ПО, 3 - игнорируем НДВ.

Уровень угроз и есть та самая переменная, которая зависит от "возможного вреда субъекту персональных данных и вида деятельности оператора" %). Видимо государственные органы и Банк России смогут устанавливать для своих отраслей фиксированный уровень угроз. Наверное стоит ожидать, что гос.сектор выберет 2 уровень. Все остальные могут честно выбрать третий уровень, чем серьёзно облегчат себе дальнейшую работу.

Итоговая таблица для определения уровня защищённости выглядит так:
В зависимости от уровня защищённости, необходимо принимать следующие меры по защите ПДн:

Видимо набор мер будет расширен в грядущих РД ФСТЭК и ФСБ. Только вот когда их ждать? В феврале 2013?

В целом документ оставил вполне положительные впечатления (ну в конце концов уж не хуже чем было!), но многое (если не всё) зависит теперь от документов ФСТЭК и ФСБ.

PS. Картинка в заголовке поста сделана с помощью анализатора слов http://www.wordle.net, которому я скормил новое ПП. 
Оцените материал:
Total votes: 249
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.