Рекомендации по ПДн имени Леты

Рекомендации по ПДн имени Леты
Наверное уже все видели/слышали про 80-тистраничные рекомендации компании Leta-IT по выполнению требований ФЗ-152. Если не брать в расчет несоблюдение федерального закона об использовании государственной символики, то данные рекомендации направлены на описание 11-ти шагов, которые должен пройти оператор ПДн для выполнения требований ФЗ-152: Шаг 1. Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн Шаг 2. Определить состав обрабатываемых ПДн, цели и условия обработки. Определить срок хранения ПДн Шаг 3. Получить согласие субъекта на обработку его ПДн, в том числе в письменной форме Шаг 4. Определить порядок реагирования на запросы со стороны субъектов персональных данных Шаг 5. Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление Шаг 6. Выделить и классифицировать ИСПДнШаг 7. Разработать модель угроз для ИСПДнШаг 8. Спроектировать и реализовать систему защиты персональных данныхШаг 9. Провести аттестацию ИСПДн по требованиям безопасности или продекларировать соответствие Шаг 10. Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации Шаг 11. Обеспечить постоянный контроль защищнности ПДн.Не совсеми рекомендациями можно согласиться - очень уж они ФСТЭК-ориентированные. Если вы не знаете, что такое ГОСТ П 51583-2000, решение Гостехкомиссии 42, Постановление СовМина РСФСР 912-51, то без лицензиата вам не обойтись. А кто первый кандидат на эту роль? Правильно ;-) Вы уже догадались. Честно говоря, я ничего нового в этом документе для себя не нашел. Полезного, в общем-то тоже. Попытка систематизации материала неплохая, но учитывая практичексую невозможность выполнения ряда шагов и полное отсутствие примеров, ставит крест на практическом применении этих рекомендаций. Хотя для новичков они могут быть полезными в части запугивания. Мы, в рабочей группе при ЦБ и АРБ, постарались все эти стандартные минусы исключить и сосредоточиться на реальных и практически применимых рекомендациях, к которым будет приложена не только отраслевая модель угроз, но и набор из 40 с лишним документов, которые можно будет сразу брать и применять в своей работе. Но эти отличия были понятны с самого начала - ЦБ и АРБ не зарабатывают денег на теме персданных, а хочет наоборот помочь операторам ПДн (в первую очередь из финансовой сферы, конечно). ЗЫ. Что мне не нравится в таких документах, так это то, что в них никогда не упоминаются имена авторов. Особенно, если они не работают в компании, чье имя стоит на титуле.
ФСТЭК персональные данные
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас