Об одной из них, по сути мало чем отличающейся от финальной редакции, я уже писал , о других (в том числе и о финальной) писали коллеги - Александр Бондаренко , Сергей Борисов и Алексей Лукацкий , который пытается ответить на вопрос, что теперь с ним делать. Отвечает, на мой взгляд, неправильно, пытаясь "натянуть" этот документ на всех без исключения операторов ПДн и найти ответы в ведомственном нормативном акте на вопросы, заданные в постановлении Правительства РФ № 1119. Кто бы что из авторов этого труда не говорил и как бы его не позиционировал, само название документа и пункт 2 приложения к нему говорят о том, что вся эта "лабуда", то есть документ (цитата) "предназначен для операторов, использующих средства криптографической защиты информации для обеспечения безопасности ПДн при их обработке в информационных системах".
Поэтому если вы не используете СКЗИ для обеспечения безопасности ПДн, то есть в уведомлении, поданном в Роскомнадзор , в разделе "Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", чуть ниже графы "средства обеспечения безопасности" вы не кликнули чекбокс "использование шифровальных (криптографических) средств" и не заполнили раскрывшиеся поля - приложение к приказу 378 дальше второго пункта можете читать только в развлекательных целях. Если указали и используете - вам, увы, не повезло. Оперирование моделью угроз не даст вам ничего, кроме возможности использования средств защиты информации, не прошедших процедуру оценки соответствия - только это предусмотрено п. 5Г документа. Но всем давно известно, как ФСБ относится к таким манипуляциям - поэтому ставьте решетки, закупайте сейфы, готовьте тубусы и вазелин пластилин.
