понедельник, 14 мая 2012 г.

Уровни не сопоставили с требованиями, а должны ли?

Одно из замечаний экспертов по информационной безопасности (к новым проектам Постановлений Правительства об уровнях и о требованиях) "уровни защищенности не соотносятся с требованиями по обеспечению информационной безопасности". Посмею возразить. И вот моя точка зрения:

ФЗ № 152 ч. 3. ст. 19  Правительство ..................... устанавливает:
1. Уровни защищенности ПДн......;
2. Требования к защите ПДн....., исполнение которых обеспечивает установленные УЗ.

ФЗ № 152 ч.4. ст. 19 Состав и содержание необходимых для выполнения, установленных Правительства РФ в соответствии с ч.3 требований к защите персональных данных для каждого из уровней защищенности ................................ устанавливают ФСБ России и ФСТЭК России.

В одном проекте ПП установлены уровни защищенности - правильные, не правильные, учитывающие все особенности или не учитывающие, но они установлены.

Во втором проекте ПП установлены требования к защите ПДн, хочу заметить, что требования высокоуровневые, за исключением тонкого намека на применение только сертифицированных СЗИ без возможности декларирования соответствия и добровольной сертификации :), каждое из требований может обеспечивать любой уровень защищенности и с этим не поспоришь. Ответственность за принятие решения по выбору конкретнх мер из списка требований Правительства и сопоставление их с УЗ возлагается на ФСБ России и ФСТЭК России. Так что нужно ждать документы регуляторов, а потом уже делать выводы. 

Итого: Правительство устанавливает множество УЗ и множество требований, а ФСТЭК России и ФСБ России должны раскидать требования по каждому из УЗ. Собственно, если проанализировать ПП № 781 и Приказ ФСТЭК России № 55, то именно такую же картину Вы и увидите (ведь в 781 нет требований к конкретным классам ИСПДн ;)).

PS: Все сложное решается просто. А просто - это закрепленное, на уровне ФЗ, обязательство оценки рисков и выбор контрмер. Без уровней защищенности и без требований к защите :).

Но больше всего меня интересует вопрос по следующей статье закона:
ч. 8 ст.19 Контроль и надзор ............................ при обработке в гос. информационных системах осуществляет ФСТЭК России и ФСБ России...........
ч.9 ст.19 ФСТЭК России и ФСБ России, решением Правительства РФ...................... могут быть наделены полномочиями по контролю за выполнением требований .......................................... и не являющихся государственными информационными системами.

В проектах ПП ни слова об этом, следовательно, проверять обычную организацию ФСТЭК России и ФСБ России не имеют права (если Вы конечно не лицензиат ;)).

Комментариев нет: