СЗПДн. Анализ. Проекты новых постановлений правительства РФ по защите ПДн

СЗПДн. Анализ. Проекты новых постановлений правительства РФ по защите ПДн

На сайте ФСБ были опубликованы 2 проекта новых постановлений правительства РФ по защите ПДн: обустановлении уровней защищенности и о требованиях по защите ПДн в ИСПДн

Не вижу смысла пока делать постатейный анализ – это проекты документов.

Привожу пока только основные замечания:
0.      Как можно было так долго (почти год) разрабатывать эти документы, если изменения минимальны?
1.      Под уровнем защищенности понимается набор требований, которые оператор должен стремиться выполнить. Реальный (или текущий) уровень защищенности ИСПДн не имеет к нему отношения (а были и такие предположения).
2.      В документе про уровни защищенности не рассматривается такой тип ИСПДн как – содержащий общедоступные ПДн. Не понятно, какой уровень защищенности должен быть у  этих систем -> возможны разные трактовки при проверке -> коррупция
3.      Класс ИСПДн не зависит от возможного вреда субъекту. (точнее сделана пометка что в зависимости от вреда класс может быть увеличен). При определении класса ИСПДн используются типы ПДн. А  тип ПДн и возможный вред могут существенно различаться.
С одной стороны тип3 фактически не существует в природе (ведь базы ПДн создаются не сами для себя, а для какой-то цели и следовательно дополнительная информация будет в них всегда) -> K3 отсутствует в природе.

С другой стороны возможные вред субъекту от разных наборов ПДн типа 2 может существенно различаться.
С ещё одной стороны вред субъекту может быть и от систем с обезличенными данными. То есть тип4 не значит нулевой вред.

Поэтому предлагаю добавить абзац разрешающий организациям проводить оценку вреда и на основе этой оценки корректировать класс ИСПДн (в том числе получать более низкий класс К3). Те кто не проводят оценку ущерба – пользуются классической таблицей.

4.      Как мне кажется, тип нарушителя также должен зависеть от возможного вреда или от возможной выгоды нарушителя.  Чем больше выгода – тем больше вероятность и возможность сговора.
Но по, крайне мерее, текущая формулировка не мешает нам экспертным способом выбирать КН1.

Для примера проведем определения уровня защищенности для 2х типовых ИСПДн в соответствии с проектами ПП РФ:

1.      Маленькая организация. ИСПДн только кадры и бухгалтерия по сотрудникам. ХПД  = тип2, ХНПД = 3, класс = K2, нарушитель = КН1, тип уровень защищенности = УЗ-3
2.      Маленькая организация. ИСПДн клиентов (например 2000 клиентов).  ХПД  = тип2, ХНПД = 2, класс = K1, нарушитель = КН1, тип уровень защищенности = УЗ-2
3.      Крупный оператор. ИСПДн клиентов (например 50 000 000 клиентов).  ХПД  = тип2, ХНПД = 1, класс = K1, нарушитель = КН1, тип уровень защищенности = УЗ-2
4.      Крупный оператор здравоохранения. ИСПДн пациентов (например 5 000 000 клиентов).  ХПД  = тип1, ХНПД = 1, класс = K1, нарушитель = КН1, тип уровень защищенности = УЗ-2

Не очень получается. Не сказал бы я, что для всех операторов типа 2,3,4 справедливо выставлять одинаковые требования.


UPD: Анализ несоответствия ФЗ и проектов ПП РФ приводит Артем Аветьян .
Анализ основных проблем в блоге Алексея Волкова 

Анализ СЗПДн ФСТЭК ФСБ
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей, киберпреступники и вирусы-вымогатели продолжают атаковать пользователей по всему миру. Смотрите новый выпуск на нашем Yotube канале