Идем далее, к пункту Е, и видим там определение "актуальных угроз", приведенное в ч. 11 ст. 19 152-ФЗ, а вот дальше - с Жэ по И - приводится, из чего же они состоят. Смысл простой: некие угрозы (обозначим их ХЗ, позже объясню почему) образуют 3 тип угроз, ХЗ + угрозы наличия недекларированных возможностей в системном ПО образуют 1 тип, ХЗ + НДВ в прикладном ПО = 2 тип угроз.
Странно, что в тексте постановления нет определения того, что же такое, собственно, этот самый "уровень защищенности" - видимо, разработчики, усердно передирая терминологию во 2 пункте, слегка утомились. Что ж, сделаем это за них: как говорит нам та же ч. 11 ст. 19 152-ФЗ, "под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных". То есть, чем выше уровень, тем суровей требования должны предъявляться к защите информационной системы.
Ответ на вопрос, почему я ввел аббревиатуру "ХЗ" для обозначения "неких угроз" дает пункт 3 проекта: прочитав громкие слова про "оценку вреда" и "совокупность условий и факторов" понимаешь, что на это все можно попросту, что называется, "забить" (это и есть вторая буква аббревиатуры). Смотрите сами: самый суровый - 1 уровень ("кол";) - оператор автоматически получает в случае наличия угрозы НДВ в СПО вне зависимости от всего остального! Второй вариант посадки оператора "на кол" также обусловлен наличием угроз НДВ, только в прикладном ПО в случае обработки им "спецкатегорий".
Казалось бы - что тут такого, ведь угрозы определяет сам оператор, ведь "нормативных правовых актов, принятых во исполнение части 5 статьи 19" еще нет и неизвестно, будут ли. Но на этот счет у меня есть определенные опасения, прежде всего связанные с
Красной нитью в проекте постановления проходит магическое число 100 000. Оно необходимо для технической дифференциации уровней, но по каким причинам выбрано именно такое количество субъектов - я так и не понял, но уж точно не из соображений оценки вреда субъектам. Судите сами: 2 уровень = 1 тип и общедоступные ПДн (ОПДн) ИЛИ 2 тип и ОПДн более 100 000 обычных субъектов, 3 уровень = 2 тип и ОПДн сотрудников оператора в неограниченном количестве ИЛИ ОПДн менее 100 000 обычных субъектов, 4 уровень = 3 тип и ОПДн. Так что, все решает тип угроз, то есть - наличие НДВ.
Для тех, кто ничего странного в предыдущем абзаце не заметил, и привык пользоваться айпадами, андроидами и прочими достижениями мобильной электроники для доступа к корпоративной адресной книге, я повторю: наличие угрозы недекларированных возможностей в системном программном обеспечении, используемом в ИСПДн, обрабатывающей персональные данные, полученные из ОБЩЕДОСТУПНЫХ источников, автоматически наделяет эту систему 2 уровнем защищенности, а значит, помимо потенциальной сертификации устройств на предмет отсутствия НДВ, к ее защите должны предъявляться требования, куда более суровые, чем, к системам, обрабатывающим спецкатегории и биометрию! Требования эти
Первое, что бросается в глаза - это наличие в документе хоть какой-то логики, в отличие от его
На закуску пойдет пункт 5, устанавливающий требования, обязательные для всех уровней без исключения: это безопасность помещений, сохранность носителей и перечень лиц, допущенных к работе с ПДн в ИСПДн. Повторю: ВСЕХ, без исключения. Включая уровни, присвоенные системам, обрабатывающим ПДн, полученные из общедоступных источников. И, пока я пишу этот текст, в моем твиттере уже идет
На первое - пункт 6, описывающий уровень 3. Здесь уже появляется лицо, ответственное за обеспечение безопасности ПДн в ИСПДн, но почему такого лица не должно быть в случае с ИСПДн 4 уровня (напомню, что по сути они отличаются только НДВ и числом субъектов), мне не понятно. Видимо, НДВ требует наличия специального "мальчика для битья" - обратите внимание, что этот "мальчик" и "лицо, ответственное за ОРГАНИЗАЦИЮ обработки ПДн" - суть разные субстанции, хотя физическое воплощение лица у них, конечно же, может быть одно и то же. Второе требование в этом пункте всплывает как... ээээээ.... коряга по весне: о каком электронном журнале каких сообщений ведет речь автор, наверное, понятно только ему самому.
На второе - пункт 7 и уровень 2 со всем сказанным выше и "обязательной оценкой соответствия" (сторонники концепции BYOD должны нервно сглотнуть). Сюда же можно записать и пункт 4, как бы намекающий на возможное появление
Ну и на десерт - пункт 8, являющий собой вершину букварного, точнее, кулинарного, мастерства. Помните замечательный мультфильм "Трое из Простоквашино" (сейчас его не показывают, он обладает рейтингом 16+, так как там папа курит трубку), ту серию, в котором Дядя Федор пишет письмо родителям, а кот Матроскин и собака Шарик по отдельности его дописывают, и в результате у автора "то лапы ломит, то хвост отваливается, а на днях он линять начал"? Так вот, этот пункт, судя по всему, писали точно также!
Возьмем пункт А. Вроде бы ничего особенного, все по делу. Но если вы хорошо знаете русский язык - судите сами:
необходимо выполнение следующих дополнительных требований:
а) факт изменения полномочий субъектов доступа к объектам доступа регистрировался автоматизированными средствами информационной системы персональных данных в электронном журнале безопасности;
Ну и пункт Б, который, согласно логике документа, в дополнение к ЛИЦУ, ответственному за обеспечение безопасности, назначенному "по цепочке" в пункте 6, добавляет еще целое ПОДРАЗДЕЛЕНИЕ с аналогичными функциями. Таким образом, у оператора будет и лицо, и подразделение, которые будут сидеть друг напротив друга и, обеспечивая безопасность, хлопать выпученными от испуга глазами в ожидании регуляторов.
Я в процессе "творческого запала" в блоге, конечно, могу накосовертить с построением фраз и даже грамматических ошибок наделать, но ведь это блог. Не знаю, конечно, как готовятся проекты постановлений Правительства, но если бы я был чиновником, ответственным за подготовку нормативки - выкладывать такие документы мне было бы стыдно.
"А компот?" - скажете вы. И не ошибетесь. Компот - это пункт 9, определяющий ЗАКРЫТЫЙ перечень лиц, имеющих полномочия организовывать и проводить контроль выполнения этого постановления. Это: 1. Операторы 2. Лица. ответственные за организацию обработки ПДн. Здесь нет ни "аккредитованных экспертов", ни Роскомнадзора, ни даже ФСТЭК и ФСБ. Только оператор. Хоть небольшая, но все-таки ложка меда в этой бочке дегтя, куда нас всех окунут, если вдруг эти проекты станут Постановлениями.