Уровни не сопоставили с требованиями, а должны ли?

Одно из замечаний экспертов по информационной безопасности (к новым проектам Постановлений Правительства об уровнях и о требованиях) "уровни защищенности не соотносятся с требованиями по обеспечению информационной безопасности". Посмею возразить. И вот моя точка зрения:

ФЗ № 152 ч. 3. ст. 19  Правительство ..................... устанавливает:

1. Уровни защищенности ПДн......;

2. Требования к защите ПДн....., исполнение которых обеспечивает установленные УЗ.

ФЗ № 152 ч.4. ст. 19 Состав и содержание необходимых для выполнения, установленных Правительства РФ в соответствии с ч.3 требований к защите персональных данных для каждого из уровней защищенности ................................ устанавливают ФСБ России и ФСТЭК России.

В одном проекте ПП установлены уровни защищенности - правильные, не правильные, учитывающие все особенности или не учитывающие, но они установлены.

Во втором проекте ПП установлены требования к защите ПДн, хочу заметить, что требования высокоуровневые, за исключением тонкого намека на применение только сертифицированных СЗИ без возможности декларирования соответствия и добровольной сертификации :), каждое из требований может обеспечивать любой уровень защищенности и с этим не поспоришь. Ответственность за принятие решения по выбору конкретнх мер из списка требований Правительства и сопоставление их с УЗ возлагается на ФСБ России и ФСТЭК России. Так что нужно ждать документы регуляторов, а потом уже делать выводы. 

Итого: Правительство устанавливает множество УЗ и множество требований, а ФСТЭК России и ФСБ России должны раскидать требования по каждому из УЗ. Собственно, если проанализировать ПП № 781 и Приказ ФСТЭК России № 55, то именно такую же картину Вы и увидите (ведь в 781 нет требований к конкретным классам ИСПДн ;)).

PS: Все сложное решается просто. А просто - это закрепленное, на уровне ФЗ, обязательство оценки рисков и выбор контрмер. Без уровней защищенности и без требований к защите :).

Но больше всего меня интересует вопрос по следующей статье закона:

ч. 8 ст.19 Контроль и надзор ............................ при обработке в гос. информационных системах осуществляет ФСТЭК России и ФСБ России...........

ч.9 ст.19 ФСТЭК России и ФСБ России, решением Правительства РФ...................... могут быть наделены полномочиями по контролю за выполнением требований .......................................... и не являющихся государственными информационными системами.

В проектах ПП ни слова об этом, следовательно, проверять обычную организацию ФСТЭК России и ФСБ России не имеют права (если Вы конечно не лицензиат ;)).

О легитимности СТО БР ИББС в контексте ПДн

Вышло письмо обращение ЦБ к кредитным организациям, в котором говорится о подтверждении регуляторами возможности применения комплеса стандартов Банка России по направлению обработки и защиты персональных данных, до выхода новых постановлений Правительства, которые устанавливают уровни защищенности и требования к защите персональных данных.

Хорошая новость для банковского сектора ;) и плюсик за активность ЦБ.

Административный регламент Роскомнадзор

Вышел в свет обновленный регламент Роскомнадзора в сфере соблюдения требований ФЗ №152 "О персональных данных". Чтиво документов такого плана не является занимательным :(, но тем не менее, хочу отметить одну деталь.

42.1. Для оценки эффективности принимаемых Оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных Служба или ее территориальный орган в рамках проверки привлекают экспертов, экспертные организации, включенные в установленном порядке в реестр граждан и организаций, привлекаемых Службой в качестве экспертов, экспертных организаций к проведению мероприятий по контролю.

На данный момент в реестре экспертов только - ФГУП НТЦ "Информрегистр", которая может выступать в качестве эксперта по вопросам соблюдения законодательства в сфере массовых коммуникаций.

Ждем пополнения экспертов по вопросам соблюдения требований законодательства о персональных данных :). Если даже правительство не поручи (в чем я очень сомневаюсь) ФСТЭК и ФСБ России проверять уровень обеспечения безопасности ПДн, то Роскомнадзор включит в свой список экспертов этих регуляторов ;).