И вот, наконец, "приказ трех" об отмене "приказа трех" по классификации ИСПДн официально зарегистрирован в Минюсте и вступил в действие. Фактически "приказ трех" и так прекратил свое действие после выхода ПП-1119 и отмены ПП-781, во исполнение которого и создавался "приказ трех". Но у нас юридических доктринальных принципов не понимают и хотят бумажку с подписями и печатями :-) Вот она!
Теперь ждем, когда РКН изменит свой приказ с формой уведомления и начнем жить по новому. Кстати, на вопрос о том, как оформлять уровни защищенности могу ответить - также как и акты классификации ИСПДн. Только называться он будет акт определения уровня защищенности. Чтобы не сильно задумываться, что в этот акт включать, я взял да и переделал шаблон акта классификации, который готовился в свое время в рамках рабочей группы ЦБ и АРБ по подгоготовке 4-й редакции СТО БР ИББС.
Теперь ждем, когда РКН изменит свой приказ с формой уведомления и начнем жить по новому. Кстати, на вопрос о том, как оформлять уровни защищенности могу ответить - также как и акты классификации ИСПДн. Только называться он будет акт определения уровня защищенности. Чтобы не сильно задумываться, что в этот акт включать, я взял да и переделал шаблон акта классификации, который готовился в свое время в рамках рабочей группы ЦБ и АРБ по подгоготовке 4-й редакции СТО БР ИББС.
ЗЫ. Скачать акт в формате Word можно по ссылке.
Полезная информация, спасибо! На практике кое-где РКН до сих пор требует предъявить акт классификации.
ОтветитьУдалитьА для верности в Акте хорошо бы сослаться на уже разработанную МУ (например: "в соответствии с Моделью угроз БПДн, инв. ______ " ).
Этот комментарий был удален автором.
ОтветитьУдалитьВ акте не хватает ссылки на Модель угроз и определения Оценки вреда - это как минимум формальные требования 1119.
ОтветитьУдалитьCanis, Оценку вреда как мне кажется можно сделать в рамках Модели угроз при оценке опасности угрозы (оценке последствий для субъекта от ее реализации).
ОтветитьУдалитьНу нет у меня аккаунта в Фейсбуке!
ОтветитьУдалитьКак же скачать этот документ?
Сергей Муравьёв
Т.е. акты классификации ПДн официально канули в лету ?
ОтветитьУдалитьSerg Mur: ссылка ведет на scribd, а не на ФБ :-) Я не вижу в этом акте ничего сверхестественного, чтобы его нельзя было за часик сваять самому :-)
ОтветитьУдалитьIvan Petrov: не ПДн, а ИСПДн
Canis: уровень защищенности никак не зависит от модели угроз. Она только детализирует угрозы определенного типа. По закону оператор ПДн сейчас не имеет права разрабатывать модель угроз - так что формально ссылаться не на что. Хотя фактически многие по-прежнему делают модель самостоятельно
ОтветитьУдалить"уровень защищенности никак не зависит от модели угроз. Она только детализирует угрозы определенного типа"
ОтветитьУдалитьОднако, не имея модели угроз, мы не сможем определить их тип, и, следовательно, УЗ.
"По закону оператор ПДн сейчас не имеет права разрабатывать модель угроз - так что формально ссылаться не на что. Хотя фактически многие по-прежнему делают модель самостоятельно"
Вы намекаете на необходимость иметь лицензию? А к какому виду работ и услуг Вы относите разработку МУ?
А если говорить о ГИС, то там оператор ИС даже обязан ее разработать.
Определить тип актуальных угроз - много ума не надо. Достаточно принять, что НДВ неактуальны и все. У нас останутся только угрозы 3-го типа. Для этого МУ не нужна.
ОтветитьУдалитьПро лицензию я не намекаю - она тут вообще не причем. Я намекаю на то, что по закону право разрабатывать модель угроз лежит на закрытом перечне лиц, в который оператор не входит.
Вот тут http://lukatsky.blogspot.ru/2013/06/8_13.html подробнее про это
1.Просто так взять и принять? Или нужно как-то обосновать? В ПП-1119 сказано, что "угрозы 1 (2) типа актуальны ... если для ИС в том числе актуальны угрозы, связанные с наличием НДВ ...". Т.е. если среди перечня актуальных угроз имеется угроза наличия НДВ. А перечень актуальных угроз есть результат построения МУ. Вроде так?
ОтветитьУдалить2.И Вы по ссылке, и сложившаяся практика опровергают столь категоричное утверждение. К какой отрасли относится упомянутый Вами интернет-магазин? Опять же, в ходе проверок регуляторы спрашивают модель угроз, не принимая во внимание: разработал ли соответствующий госорган "нормативные правовые акты, в которых определяют угрозы безопасности персональных данных" или нет. Думаете, все еще изменится и госорганы ринутся писать типовые модели?
Здравствуйте, Алексей.
ОтветитьУдалитьСогласно 152 ФЗ Статья 19, п 2.1 Оператор определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.
В шаблоне вашего акта:
1. Вы определяете уровень защищённости информационной системы. В постановлении Правительства 1119 фигурирует следующая формулировка "уровень защищенности персональных данных при обработке персональных данных в информационных системах", т.е. уровень защищённости должен присваиваться не информационной системе, а персональным данным.
2. "В соответствии с порядком определения уровня защищённости, утверждённым Постановлением Правительства от 1 ноября 2012 года №1119...". Постановление 1119 не утверждает порядок определение уровня защищённости, оно утверждает требования к защите персональных данных при их обработке в информационных системах персональных данных и отменяет 781 постановление.
3. Акт называется "Акт определения уровня защищённости", а в конце звучит "Установить информационной системе персональных данных". Логичнее было бы "определить уровень защищённости..." или "установить необходимость обеспечения уровня защищенности” (как написано в Требованиях.
Александр: просто взять и принять, т.к. в ПП-1119 говорится об экспертной оценке. Я прекрасно понимаю, что модель угроз все верстают сами (сам не раз делал), но с точки зрения закона это нелегитимно. Поэтому мы в СФ вносили в законопроект по ПДн право оператору до момента принятия отраслевой модели угроз принимать такую модель самостоятельно
ОтветитьУдалитьАлексей, я этот акт делал за 5 минут и не сильно проверял. Просто править что-то всегда проще, чем писать с нуля. С этой целью и выкладывал файлик
ОтветитьУдалитьАкт уже не открывается - заблокирован провайдером по указке роскомнадзора =)
ОтветитьУдалить