Читаю проект постановления по уровням защищенности. Хочу остановиться лишь на нескольких моментах.
1. Мне нравится преемственность нового и старого подходов. Даже если в организациях еще ничего не сделано для защиты ПДн, то уж классы-то ИСПДн должны быть определены. 152-ФЗ вышел аж в 2006 году и жалобы на его новизну уже надоели.
2. Установить уровни защищенности вроде бы как хорошо. Более того такой переход позволит уменьшить расходы на обеспечения защиты, т.к.:
- при К1 возможен и УЗ-2;
- при К2 возможен и УЗ-3.
Читаю документ еще раз и с начала.
3. Уровни должны зависеть от большего числа параметров ПДн, чем есть сейчас. Цитирую п.2 проекта постановления:
«Установить, что уровни защищенности персональных данных определяются оператором или лицом, осуществляющим обработку персональных данных по поручению оператора, в зависимости от угроз безопасности персональных данных с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных»
В алгоритме определения уровня защищенности почему-то не учитывается:
- возможный вред субъекту ПДн;
- вид деятельности оператора ПДн.
Это очень странно, т.к. об этих сущностях говорили давно и долго, а пока получается как всегда. Остается лишь эти понятия прописывать в модели угроз для того, чтобы снизить категории нарушителей или же просто игнорировать.
