Очень много сейчас говорят о том, что классификация ИСПДн по классу К1 или К2 приведет к коллапсу бизнеса многих предприятий, т.к. выполнить эти требования четверокнижия физически невозможно. Иногда выполнение этих требований вообще влечет за собой угрозу жизни человеку. Что же делать?
Ссылаться на нелигитимность этой четверки документов я не буду - покажу реальный сценарий действий при сцществующем положении дел.
Итак, у нас имеется ст.19 ФЗ-152, которая гласит "
Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий".
Обращу ваше внимание, что в данной статье закон (а не подзаконные акты) требует защитить ПДн, среди прочего, от изменения и блокирования. Иными словами оператор ПДн должен обеспечить защиту от угроз нарушения целостности и доступности.
Согласно "приказу трех" к специальным ИСПДн относятся "
информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)".
Но... обеспечение иных характеристик безопасности ПДн (помимо конфиденциальности) мы
обязаны по закону. Мы не можем не выполнять или обойти это требование, т.к. оно прописано достаточно явно. Из этого следуюет вполне логический вывод, что типовых ИСПДн не существует в природе и любая ИСПДн относится к разряду специальных. Это факт номер 1.
Идем дальше. В п.16 "прикзаа трех" сказано, что "
по результатам анализа исходных данных класс специальной информационной системы определяется на основе модели угроз безопасности персональных данных в соответствии с методическими документами, разрабатываемыми в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
Таких методических документов нет! Это признают и сами регуляторы, рекомендуя для специальных ИСПДн разрабатывать частную модель угроз и, уже исходя из нее, разрабатывать перечень мероприятий по защите. Руководствоваться при разработке модели угроз и перечня мероприятий можно имеющимися документами ФСТЭК. И вот тут самое интересное. Документ "Основные мероприятия..." определяет требования к
типовым ИСПДн, которых в природе не существует.
Что из этого следует? А то, что вы можете самостоятельно (даже без привлечения сторонних организаций) разработать модель угроз и, что самое главное, перечень мероприятий по защите от них, в который вы можете преспокойно не включать такие, безусловно, "важные" требования по защите моей фамилии или факта о болезни ОРВИ, как борьба с ПЭМИН, виброакустикой, видеоперехватом и т.д.
Также вы можете со спокойной совестью удалить из модели угроз производителя ПО, защитив себя тем самым от требования наличия сертификата на НДВ (закладки). Я с трудом себе представляю хотя бы одного из 7 миллионов операторов ПДн, который должен опасаться, что Microsoft или Oracle или SAP специально внесут закладки в ПО с целью получения несанкционированного доступа к персональным данным уборщицы "Марь Ивановны".