Одно из замечаний экспертов по информационной безопасности (к новым проектам Постановлений Правительства об уровнях и о требованиях) "уровни защищенности не соотносятся с требованиями по обеспечению информационной безопасности". Посмею возразить. И вот моя точка зрения:
ФЗ № 152 ч. 3. ст. 19 Правительство ..................... устанавливает:
1. Уровни защищенности ПДн......;
2. Требования к защите ПДн....., исполнение которых обеспечивает установленные УЗ.
ФЗ № 152 ч.4. ст. 19 Состав и содержание необходимых для выполнения, установленных Правительства РФ в соответствии с ч.3 требований к защите персональных данных для каждого из уровней защищенности ................................ устанавливают ФСБ России и ФСТЭК России.
В одном проекте ПП установлены уровни защищенности - правильные, не правильные, учитывающие все особенности или не учитывающие, но они установлены.
Во втором проекте ПП установлены требования к защите ПДн, хочу заметить, что требования высокоуровневые, за исключением тонкого намека на применение только сертифицированных СЗИ без возможности декларирования соответствия и добровольной сертификации :), каждое из требований может обеспечивать любой уровень защищенности и с этим не поспоришь. Ответственность за принятие решения по выбору конкретнх мер из списка требований Правительства и сопоставление их с УЗ возлагается на ФСБ России и ФСТЭК России. Так что нужно ждать документы регуляторов, а потом уже делать выводы.
Итого: Правительство устанавливает множество УЗ и множество требований, а ФСТЭК России и ФСБ России должны раскидать требования по каждому из УЗ. Собственно, если проанализировать ПП № 781 и Приказ ФСТЭК России № 55, то именно такую же картину Вы и увидите (ведь в 781 нет требований к конкретным классам ИСПДн ;)).
PS: Все сложное решается просто. А просто - это закрепленное, на уровне ФЗ, обязательство оценки рисков и выбор контрмер. Без уровней защищенности и без требований к защите :).
Но больше всего меня интересует вопрос по следующей статье закона:
ч. 8 ст.19 Контроль и надзор ............................ при обработке в гос. информационных системах осуществляет ФСТЭК России и ФСБ России...........
ч.9 ст.19 ФСТЭК России и ФСБ России, решением Правительства РФ...................... могут быть наделены полномочиями по контролю за выполнением требований .......................................... и не являющихся государственными информационными системами.
В проектах ПП ни слова об этом, следовательно, проверять обычную организацию ФСТЭК России и ФСБ России не имеют права (если Вы конечно не лицензиат ;)).
Комментариев нет:
Отправить комментарий