Подписано ПП №1119, о проекте которого я уже писал в предыдущей заметке . К замечаниям, которые я приводил в данной заметке, добавляется следующее.
В данный момент в большей части информационных систем или технологических процессов обрабатываются общедоступные персональные данные или малоценные обезличенные персональные данные.
Примерами таких систем или технологических процессов являются:
· Корпоративные справочники сотрудников
· Перечни учетных записей пользователей в любом приложении (например, имя, должность, логин, контактный телефон)
· Перечни учетных записей пользователей в любом корпоративном сервисе, таком как AD, телефония
· Клиентские кабинеты на webпортале (имя, логин, емейл)
· Любые онлайн формы для обращений клиентов (имя, емейл, контактный телефон)
· Кол.центры для работы со звонками клиентов в которых записывается имя, телефон.
Из опыта предыдущих проектов могу сказать, что например в организации - операторе из 1000 сотрудников, порядка 100 являются полноценными пользователями ПДн, а оставшиеся 900 работают только с общедоступными или малоценные обезличенными ПДн. Соответственно эти 100 пользователей защищались сертифицированными СЗИ, остальные 900 пользователей встроенными средствами безопасности имеющимися в системах и сервисах.
Руководствуясь 152-ФЗ 2.0 и ПП №1119 мы получаем что:
· ИСПДн с общедоступными ПДн, полученными непосредственно от субъекта вместе с согласием на общедоступность – ИСПДн обрабатывающая иные категории ПДн (ИСПДн-И)
· ИСПДн с неценными обезличенными ПДн – ИСПДн обрабатывающая иные категории ПДн (ИСПДн-И)
Далее устанавливаем уровень защищенности. Даже если тип актуальный угрозы 3-его типа получаем 3 и 4 уровень защищенности ПДн и как следствие получаем необходимость использования сертифицированных СЗИ для защиты этих ПДн.
В результате мы с вами существенно теряем в гибкости при защите ПДн, вынуждены будем увеличить бюджеты на СЗПДн как минимум в 10 раз, а онлайн обращения и услуги вообще оказываются вне закона.
Почему я не писал об этом в прошлой заметке? Потому что в проекте ПП применение сертифицированных СЗИ требовалось только с 2 уровня защищенности. И это было бы разумным компромиссом при защите общедоступных или малоценных обезличенные персональные данные.