Федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий устанавливаются состав и содержание:
1. Необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности;
2. Организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
В первой части речь, как мы понимаем, идет о ПП-1119, подробно рассмотренного и
производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных"
"Ожидаемый" же документ, как мы знаем из информационного сообщения, разрабатывается в соответствие с ч. 4 ст. 19. 152-ФЗ. Кто же должен определять угрозы? Согласно ч. 5 ст. 19 152-ФЗ - это:
- Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности;
- органы государственной власти субъектов Российской Федерации;
- Банк России;
- органы государственных внебюджетных фондов;
- иные государственные органы в пределах своих полномочий.
А вот обязательные (!) требования к выбору средств защиты информации для системы защиты персональных данных - напротив, очень даже стОит ожидать, поскольку п. 4 ПП-1119 в явном виде указывает на то, что выбор этот
осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных",
и никак иначе. В информационном сообщении, помимо прочего, говорится о преемственности курса и признании старых сертификатов, при этом везде употребляется фраза "может применяться". Разводить демагогию по поводу того, что "может применяться, а может и не применяться" совершенно бессмысленно, поскольку, например, такая фраза
При обеспечении защищенности персональных данных, обрабатываемых в информационных системах персональных данных, могут применяться средства защиты информации, в сертификатах соответствия на которые не приведена информация о возможности их использования для защиты персональных данных.
в документе, описывающем ОБЯЗАТЕЛЬНЫЕ требования к выбору СЗИ, ставит знак равенства между "могут" и "должны".
Но и это не главное. Вернемся к ч. 4 ст. 19 152-ФЗ, ко второй ее части, что я написал выше. Что мы видим? Она, при определенном прочтении, полностью отвязана от первой, и потому позволяет регуляторам в своих ведомственных НПА расширить перечень требований постановления Правительства как угодно. Почему ПП-1119 такое "куцее" с точки зрения обеспечения безопасности, и почему нам так легко отдали определение актуальности НДВ? Все просто: вы можете хоть замоделироваться угрозами, но "организационные и технические меры" будьте любезны - выполните.
Такая вот "петрушка", дорогие читатели. Именно поэтому нам с Вами крайне необходимо попытаться отрихотвать и "состав", и "содержание".