Пару слов про уровни защищенности

Пару слов про уровни защищенности

Читаю проект постановления по уровням защищенности. Хочу остановиться лишь на нескольких моментах.
1. Мне нравится преемственность нового и старого подходов. Даже если в организациях еще ничего не сделано для защиты ПДн, то уж классы-то ИСПДн должны быть определены. 152-ФЗ вышел аж в 2006 году и жалобы на его новизну уже надоели.

2. Установить уровни защищенности вроде бы как хорошо. Более того такой переход позволит уменьшить расходы на обеспечения защиты, т.к.:
  • при К1 возможен и УЗ-2;
  • при К2 возможен и УЗ-3.
Читаю документ еще раз и с начала.

3. Уровни должны зависеть от большего числа параметров ПДн, чем есть сейчас. Цитирую п.2 проекта постановления:

«Установить, что уровни защищенности персональных данных определяются оператором или лицом, осуществляющим обработку персональных данных по поручению оператора, в зависимости от угроз безопасности персональных данных с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных»

В алгоритме определения уровня защищенности почему-то не учитывается:
  • возможный вред субъекту ПДн;
  • вид деятельности оператора ПДн.
Это очень странно, т.к. об этих сущностях говорили давно и долго, а пока получается как всегда. Остается лишь эти понятия прописывать в модели угроз для того, чтобы снизить категории нарушителей или же просто игнорировать.
ПДн Аналитика
Alt text

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Евгений Шауро

Блог специалиста по информационной безопасности