Немного цитат и комментариев к ним:
Если затраты времени и средств на приведение информационных систем персональных данных (ИСПДн) в соответствие с предъявляемыми требованиями окажутся слишком высокими, то следует оценить возможность обезличивания или понижения классов информационных систем и провести необходимые работы повторно.
Думаю, что не только в случае высоких затрат, но и в случае со здравой логикой надо оценить возможность обезличивания ПДн. Но закрепить такую мысль в официальном документе + Рособразованию.
Наиболее эффективным способом приведению ИСПДн в соответствие с предъявляемыми требованиями является их обезличивание. Оно позволяет классифицировать ИСПДн по низшему классу К4 и самостоятельно определить необходимость и способы их защиты.
Это уже похоже на приказ о необходимости обезличивания ПДн ;).
Если система не может быть отнесена к типовой, модель угроз специальной информационной системы разрабатывается на основе ГОСТ Р 51275-2006 специалистами в области информационной безопасности.
Не совсем понятно из чего вытекает такое требование, но согласитесь, ход мыслей то правильный. Не в одних рекомендациях я ссылки на этот гост не видел, а следовательно Рособразованию еще один +.
+ 1 За способы понижения требований по защите ПДн и конкретные рекомендации к этим способам.
В итоге, сложилось положительное впечатление от прочтения. Документ выглядит лучше по сравнению со стандартами НПФР и Минздравсоцразвития, в части практического применения.
Комментариев нет:
Отправить комментарий