Итак, свершилось. По истине эпохальное событие для операторов информационных систем персональных данных. 05 февраля 2010 года было принято Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом директора ФСТЭК РФ 05 февраля 2010 года № 58, зарегистрированное в Минюсте 19 февраля 2010 года за № 16456 и введенное в действие 1 марта 2010 года (десять дней с момента принятия). В базах Гаранта и Консультанта+ этот документ уже опубликован. К сожалению на официальном сайте ФСТЭК РФ его еще пока нет по какой-то причине.
Учитывая, что Положение принято как полагается по законодательству, можно считать его тем самым официальным документом, регламентирующим работу по защите персональных данных, а также то, что оно отсылает операторов лишь на те документы из знаменитого четырехкнижия, которые разъясняют как строить модель угроз, можно оставшиеся два документа либо выбросить, либо использовать для собственного образования (да мало ли как еще). Фактически необходимо считать данный документ как полную замену Основных мероприятий и Рекомендаций.
Теперь многие вопросы, связанные с организацией защиты персональных данных у операторов автоматически снимутся. Защищать стало легче, требования разумнее, хотя непонятности все же еще присутствуют. Не могу согласиться с Алексеем Лукацким в том, что нет указаний по классификации специальных информационных систем, а есть только по типовым. Здесь наблюдается явное заблуждение, вызванное нечеткими формулировками приказа 3-х. Дело в том, что тип информационной системы (типовая или специальная) - это не отдельная информационная система, а всего лишь один из показателей, который учитывается при проведении классификации, и на саму классификацию никак не влияет, а влияет лишь на методы и способы организации защитных мероприятий и применение тех или иных средств защиты. Фактически именно это в приказе 3-х и указано. Вводит же в заблуждение 16 пункт этого приказа, который как бы разделяет информационные системы по типу. В этом пункте, скорее всего должно было быть написано не класс устанавливается по модели угроз, а мероприятия осуществляются по модели угроз.
Пункт 8 приказа 3-х указывает, что по заданным характеристикам безопасности информационные системы подразделяются на типовые и специальные, то есть это всего лишь один из показателей при проведении классификации. Но вот пресловутый 16 пункт выбивает почву из под ног. Его следовало либо вообще выбросить из приказа, либо откорректировать формулировку. То же самое нужно сказать и о пункте 14, который тоже вносит путаницу и дает возможность операторам злоупотреблять его перечислениями классов. Вот что значит негативные последствия? Кто будет определять (приказ напрямую указывает кто - оператор) степень и значительность негативных последствий? И вот тут, если будет у оператора грамотный работник, он сможет составить всю документацию и принять меры защиты основываясь на том, что, якобы, последствия не могут быть значительными. То есть фактически не принимать никаких мер. Но это в случае, если, конечно, сможет грамотно обосновать эту позицию. Но все же возможность злоупотребления остается. Вот именно по этой причине мне и кажется, что пункты 14 и 16 приказа 3-х попросту лишние.
Собственно после более углубленного ознакомления с Положением я напишу поподробнее о его требованиях и рекомендациях. Пока же рекомендую вам самим ознакомиться с ним. Как я уже говорил, его можно нарыть в базах Гаранта и Консультанта+.
Комментариев нет:
Отправить комментарий