Вы готовы изменить если не мир, то хотя бы ФЗ-152?!

Вы готовы изменить если не мир, то хотя бы ФЗ-152?!
Представьте, что вам дана уникальная возможность при действующей редакции ФЗ-152 все-таки поучаствовать в разработке подзаконных актов (не меняя текста ФЗ-152). Т.е. как-то выкрутиться в ворохе "уровней защищенности", "требований по безопасности", "актуальных угроз", "видов деятельности" и других понятий нового старого ФЗ-152. Как бы вы выстроили стратегию и иерархию разработки подзаконных актов? Понятно, что начинать надо с базовой модели угроз. C ней более менее все понятно. Чтобы не создавать вторую "базовую" модель от ФСТЭК я бы в новую модель включил бы стандартный минимум - вирусы, НСД, утечки и т.п. А уж расширять ее можно было бы на уровне отраслевых и "союзных" моделей. Что дальше? Вид и объем персданных брать из приказа трех или новую градацию использовать? Зачем и почему? С видами деятельности основная засада - их слишком много, если ориентироваться на всякие классификаторы ОКВЭД и т.п. Поэтому надо исходить из каких-то других критериев. Каких? Если в расчет брать виды не экономической деятельности оператора, а деятельности, связанной с обработкой ПДн, то по сути у нас их и не так много - Интернет-обработка, трансграничка, мультимедиа, мобильные устройства, облака. Все эти виды обработки/использования/передачи ПДн специфичны с точки зрения способов защиты и можно их описать в подзаконниках. Затем я бы против угроз для каждого вида деятельности сделал бы две колонки - организационные и технические меры защиты. При этом зафиксировал бы, что организационным отдается приоритет (за основу взял бы ISO 29100/29101). Ну и уже потом покумекал бы над требованиями к оценке соответствия. То, что она нужна в том или ином виде, понятно. Но и гнуть всех под обязательную сертификацию тоже неверно. Дополнительно все это стоило бы еще поделить на два направления - для госорганов/муниципалов и коммерческих структур. Вот как-то так! Есть иные мысли, предложения, замечания, комментарии?.. ЗЫ. Флеймить на тему бесполезности этой работы не стоит. Не верите в результат, лучше просто понаблюдайте за дискуссией. Есть конкретика - предлагайте, буду только благодарен. И помните, что под лежачий камень вода не течет ;-)
законодательство персональные данные
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь