25.02.2014

Приказ трех по классификации ИСПДн отменен официально

И вот, наконец, "приказ трех" об отмене "приказа трех" по классификации ИСПДн официально зарегистрирован в Минюсте и вступил в действие. Фактически "приказ трех" и так прекратил свое действие после выхода ПП-1119 и отмены ПП-781, во исполнение которого и создавался "приказ трех". Но у нас юридических доктринальных принципов не понимают и хотят бумажку с подписями и печатями :-) Вот она!


Теперь ждем, когда РКН изменит свой приказ с формой уведомления и начнем жить по новому. Кстати, на вопрос о том, как оформлять уровни защищенности могу ответить - также как и акты классификации ИСПДн. Только называться он будет акт определения уровня защищенности. Чтобы не сильно задумываться, что в этот акт включать, я взял да и переделал шаблон акта классификации, который готовился в свое время в рамках рабочей группы ЦБ и АРБ по подгоготовке 4-й редакции СТО БР ИББС.

ЗЫ. Скачать акт в формате Word можно по ссылке.

15 коммент.:

Александр Германович комментирует...

Полезная информация, спасибо! На практике кое-где РКН до сих пор требует предъявить акт классификации.

А для верности в Акте хорошо бы сослаться на уже разработанную МУ (например: "в соответствии с Моделью угроз БПДн, инв. ______ " ).

Canis комментирует...
Этот комментарий был удален автором.
Canis комментирует...

В акте не хватает ссылки на Модель угроз и определения Оценки вреда - это как минимум формальные требования 1119.

securityladysib комментирует...

Canis, Оценку вреда как мне кажется можно сделать в рамках Модели угроз при оценке опасности угрозы (оценке последствий для субъекта от ее реализации).

Serg Mur комментирует...

Ну нет у меня аккаунта в Фейсбуке!
Как же скачать этот документ?
Сергей Муравьёв

Ivan Petrov комментирует...

Т.е. акты классификации ПДн официально канули в лету ?

Алексей Лукацкий комментирует...

Serg Mur: ссылка ведет на scribd, а не на ФБ :-) Я не вижу в этом акте ничего сверхестественного, чтобы его нельзя было за часик сваять самому :-)

Ivan Petrov: не ПДн, а ИСПДн

Алексей Лукацкий комментирует...

Canis: уровень защищенности никак не зависит от модели угроз. Она только детализирует угрозы определенного типа. По закону оператор ПДн сейчас не имеет права разрабатывать модель угроз - так что формально ссылаться не на что. Хотя фактически многие по-прежнему делают модель самостоятельно

Александр Германович комментирует...

"уровень защищенности никак не зависит от модели угроз. Она только детализирует угрозы определенного типа"

Однако, не имея модели угроз, мы не сможем определить их тип, и, следовательно, УЗ.

"По закону оператор ПДн сейчас не имеет права разрабатывать модель угроз - так что формально ссылаться не на что. Хотя фактически многие по-прежнему делают модель самостоятельно"

Вы намекаете на необходимость иметь лицензию? А к какому виду работ и услуг Вы относите разработку МУ?
А если говорить о ГИС, то там оператор ИС даже обязан ее разработать.

Алексей Лукацкий комментирует...

Определить тип актуальных угроз - много ума не надо. Достаточно принять, что НДВ неактуальны и все. У нас останутся только угрозы 3-го типа. Для этого МУ не нужна.

Про лицензию я не намекаю - она тут вообще не причем. Я намекаю на то, что по закону право разрабатывать модель угроз лежит на закрытом перечне лиц, в который оператор не входит.

Вот тут http://lukatsky.blogspot.ru/2013/06/8_13.html подробнее про это

Александр Германович комментирует...

1.Просто так взять и принять? Или нужно как-то обосновать? В ПП-1119 сказано, что "угрозы 1 (2) типа актуальны ... если для ИС в том числе актуальны угрозы, связанные с наличием НДВ ...". Т.е. если среди перечня актуальных угроз имеется угроза наличия НДВ. А перечень актуальных угроз есть результат построения МУ. Вроде так?

2.И Вы по ссылке, и сложившаяся практика опровергают столь категоричное утверждение. К какой отрасли относится упомянутый Вами интернет-магазин? Опять же, в ходе проверок регуляторы спрашивают модель угроз, не принимая во внимание: разработал ли соответствующий госорган "нормативные правовые акты, в которых определяют угрозы безопасности персональных данных" или нет. Думаете, все еще изменится и госорганы ринутся писать типовые модели?

Алексей Юшкин комментирует...

Здравствуйте, Алексей.
Согласно 152 ФЗ Статья 19, п 2.1 Оператор определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.
В шаблоне вашего акта:
1. Вы определяете уровень защищённости информационной системы. В постановлении Правительства 1119 фигурирует следующая формулировка "уровень защищенности персональных данных при обработке персональных данных в информационных системах", т.е. уровень защищённости должен присваиваться не информационной системе, а персональным данным.
2. "В соответствии с порядком определения уровня защищённости, утверждённым Постановлением Правительства от 1 ноября 2012 года №1119...". Постановление 1119 не утверждает порядок определение уровня защищённости, оно утверждает требования к защите персональных данных при их обработке в информационных системах персональных данных и отменяет 781 постановление.
3. Акт называется "Акт определения уровня защищённости", а в конце звучит "Установить информационной системе персональных данных". Логичнее было бы "определить уровень защищённости..." или "установить необходимость обеспечения уровня защищенности” (как написано в Требованиях.

Алексей Лукацкий комментирует...

Александр: просто взять и принять, т.к. в ПП-1119 говорится об экспертной оценке. Я прекрасно понимаю, что модель угроз все верстают сами (сам не раз делал), но с точки зрения закона это нелегитимно. Поэтому мы в СФ вносили в законопроект по ПДн право оператору до момента принятия отраслевой модели угроз принимать такую модель самостоятельно

Алексей Лукацкий комментирует...

Алексей, я этот акт делал за 5 минут и не сильно проверял. Просто править что-то всегда проще, чем писать с нуля. С этой целью и выкладывал файлик

Wolkodlak комментирует...

Акт уже не открывается - заблокирован провайдером по указке роскомнадзора =)