среда, 20 апреля 2011 г.

Как защищаются ПДн в образовании

На днях прочитал рекомендации Рособразования по защите ПДн и был приятно удивлен прочитанным.
Немного цитат и комментариев к ним:

Если затраты времени и средств на приведение информационных систем персональных данных (ИСПДн) в соответствие с предъявляемыми требованиями окажутся слишком высокими, то следует оценить возможность обезличивания или понижения классов информационных систем и провести необходимые работы повторно.

Думаю, что не только в случае высоких затрат, но и в случае со здравой логикой надо оценить возможность обезличивания ПДн. Но закрепить такую мысль в официальном документе + Рособразованию.

Наиболее эффективным способом приведению ИСПДн в соответствие с предъявляемыми требованиями является их обезличивание. Оно позволяет классифицировать ИСПДн по низшему классу К4 и самостоятельно определить необходимость и способы их защиты.

Это уже похоже на приказ о необходимости обезличивания ПДн ;).

Если система не может быть отнесена к типовой, модель угроз специальной информационной системы разрабатывается на основе ГОСТ Р 51275-2006 специалистами в области информационной безопасности.

Не совсем понятно из чего вытекает такое требование, но согласитесь, ход мыслей то правильный. Не в одних рекомендациях я ссылки на этот гост не видел, а следовательно Рособразованию еще один +.

+ 1 За способы понижения требований по защите ПДн и конкретные рекомендации к этим способам.

В итоге, сложилось положительное впечатление от прочтения. Документ выглядит лучше по сравнению со стандартами НПФР и Минздравсоцразвития, в части практического применения.  

Комментариев нет: