Первая версия постановления правительства по защите ПДн, подготовленные ФСБ России и рассмотренная в одной из моих предыдущих заметок не прошла согласования в правительстве.
Вторая попытка ФСБ России подготовить постановления правительства по защите ПДн:
· Проект ПП РФ «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных» (далее, Уровни)
· Проект ПП РФ «О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных» (далее, Требования)
выложены на сайте ФСБ России для антикоррупционной экспертизы.
Основные мысли по документу Уровни:
· вводится 4 уровня защищенности ПДн при их обработке в ИСПДн;
· вводится определение актуальности угроз (но не самих типов угроз) 1-ого, 2-ого и 3-его типов;
· актуальный тип угроз определяет оператор с учетом совокупности условий, факторов и оценки вреда (прорыв в том, что в явном виде модель угроз не требуется. Но в тоже время МУ вполне допустим на этом этапе);
· вводится 4 типа ИСПДн:
o ИСПДн обрабатывает специальные категории ПДн (ИСПДн-С)
o ИСПДн обрабатывает биометрические ПДн (ИСПДн-Б)
o ИСПДн обрабатывает общедоступные ПДн (ИСПДн-О)
o ИСПДн обрабатывает иные категории ПДн (ИСПДн-И)
· уровень Защищенности определяется по следующей таблице
Замечания к документы Уровни:
1. Определение из проекта ПП РФ Уровни пункт 1:
“в) информационная система обрабатывает общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных»;”
противоречит определению из 152-ФЗ статья 6 часть 1:
“10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);”
и противоречит принципам из 152-ФЗ статья 18 часть 4:
“3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;”
Таким образом 152-ФЗ предусматривает 2 варианта попадания к оператору общедоступных ПДн: непосредственно от субъекта и из общедоступных источников. А ПП РФ Уровни предусматривает только один вариант получения общедоступных ПДн.
2. Нет определения самих типовугроз, есть только определение актуальности
3. Не определен уровень защищенности, когда количество субъектов равно 100 000.
4. Не определены действия в той ситуации, когда сходя из специфики ИСПДн все угрозы будут неактуальными. Ситуация не подходит ни под один из трех типов актуальности угроз.
В общем, если замечания есть, то небольшие, которые легко исправить, так что не могу согласиться с коллегами – блогерами на счет “второй блин комом”.
Продолжение про Требования следует.
