СЗПДн. Анализ. ИСПДн c общедоступными и обезличенными ПДн

СЗПДн. Анализ. ИСПДн c общедоступными и обезличенными ПДн

Подписано ПП №1119, о проекте которого я уже писал в предыдущей заметке .  К замечаниям, которые я  приводил в данной заметке, добавляется следующее.

В данный момент в большей части информационных систем или технологических процессов обрабатываются общедоступные персональные данные или малоценные обезличенные персональные данные.

Примерами таких систем или технологических процессов являются:
·        Корпоративные справочники сотрудников
·        Перечни учетных записей пользователей в любом приложении (например, имя, должность, логин, контактный телефон)
·        Перечни учетных записей пользователей в любом корпоративном сервисе, таком как AD, телефония
·        Клиентские кабинеты на webпортале (имя, логин, емейл)
·        Любые онлайн формы для обращений клиентов (имя, емейл, контактный телефон)
·        Кол.центры для работы со звонками клиентов в которых записывается имя, телефон.

Из опыта предыдущих проектов могу сказать, что например в организации  - операторе из 1000 сотрудников, порядка 100 являются полноценными пользователями ПДн, а оставшиеся 900 работают только с общедоступными или малоценные обезличенными ПДн. Соответственно эти 100 пользователей защищались сертифицированными СЗИ, остальные 900 пользователей встроенными средствами безопасности имеющимися в системах и сервисах.

Руководствуясь 152-ФЗ 2.0 и ПП №1119 мы получаем что:
·        ИСПДн с общедоступными ПДн, полученными непосредственно от субъекта вместе с согласием на общедоступность – ИСПДн обрабатывающая иные категории ПДн (ИСПДн-И)
·        ИСПДн с неценными обезличенными ПДн – ИСПДн обрабатывающая иные категории ПДн (ИСПДн-И)

Далее устанавливаем уровень защищенности. Даже если тип актуальный угрозы 3-его типа получаем 3 и 4 уровень защищенности ПДн и как следствие получаем необходимость использования сертифицированных СЗИ для защиты этих ПДн.

В результате мы с вами существенно теряем в гибкости при защите ПДн, вынуждены будем увеличить бюджеты на СЗПДн как минимум в 10 раз, а онлайн обращения и услуги вообще оказываются вне закона.

Почему я не писал об этом в прошлой заметке? Потому что в проекте ПП применение сертифицированных СЗИ требовалось только с 2 уровня защищенности. И это было бы разумным компромиссом при защите общедоступных или малоценных обезличенные персональные данные.




общедоступные ПДн Анализ СЗПДн обезличенные ПДн
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале