На первый взгляд - документ впечатляет: объемный, хорошо структуирован, присутствуют логические взаимосвязи. Однако после более детального изучения текста всплывают юридические неоднозначности и стилистические неточности, а после изучения Приложения становится понятно, что, в общем-то, ничего не понятно.
«Базовый состав», судя по всему, «списан» с соответствующих «Специальных контролей безопасности», приведенных в Приложении F к специальной публикации
Например, постоянные читатели DLP-Expert, ознакомившись с описаниями «базовых мер» за номерами ОЦЛ.9 и ЗИС.6 могут подумать, что речь идет как раз о DLP. Однако, сопоставляя «меры» с «контролями», читатели поймут, что речь идет совсем о другом: «мера» ОЦЛ.9 соответствует «контролю» SI-8 (антиспам), а ЗИС.6 – это ACL и политики прокси-сервера («контроль» AC-4 по NIST). Вообще, это очень увлекательное занятие – сопоставлять «меры» и «контроли» – я уверен, экспертное сообщество скоро составит такую таблицу соответствий.
Какие ранее непонятные, спорные моменты документ разъяснил?
В части 4 ст. 19 152-ФЗ присутствует
Какой момент (моменты) в документе вы считаете наиболее критичным с точки зрения неоднозначности трактовки или несоответствия действующему законодательству и почему. Ваши предложения по его корректировке.
С другой стороны, просто исключить ее из реестра недостаточно: технический регламент на СЗИ до сих пор отсутствует, и в Едином перечне продукции, подлежащей обязательной сертификации (утв. постановлением Правительства РФ от 1 декабря 2009 г. N 982) отсутствуют какие-либо упоминания о средствах защиты информации. Поэтому, согласно 184-ФЗ, система сертификации РОСС RU.0001.01БИ00 пока не может быть обязательной.
Будут ли по вашему, учтены пожелания, внесенные экспертным сообщестом, при формировании окончательного текста документа?
Мы все очень надеемся.
Как бы вы посоветовали вести себя операторам ПДн, в случае если документ останется в том виде, в котором он был выложен? То есть в него не внесут или внесут некритичные изменения.
Требования законодательства выполнять все равно нужно – от этого никуда не деться. А в остальном – документ, с огромной долей вероятности, будет изменен и дополнен: пока по-прежнему непонятно, как моделировать угрозы НДВ, нет в явном виде и «мер», снижающих актуальность угроз, связанных с НДВ. Что касается пункта 5 – согласно
Кто победит в войне неоднозначностей – большой вопрос. Есть, конечно, постановление правительства № 330, но оно носит гриф ДСП и потому не может участвовать в нормотворческой деятельности, касающейся ПДн. Аналогичный пример - Роскомнадзор, из-за несоответствия административного регламента по ПДн закону 294-ФЗ в части оснований для проведения внеплановых проверок, регулярно проигрывает в суде операторам. Если документ примут без изменений в этой части - возможно, будет иметь место та же картина.