Сегодня ожидаем рассмотрения поправок Резника к 152-ФЗ во втором чтении. Пока что не ясно состоится ли оно, будет ли перенесено (в особенности после изменений законопроекта), а если состоится - то в каком все-таки виде будет принято.
В текущей редакции фактически закрепляется существующий порядок проведения работ:
Статья 19. п.2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
Разработка Модели угроз безопасности ПДн.
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
Создание системы ЗИ. Объем требований к системе ЗИ определяется по результатам классификации. Полностью закрывается дорога "оптимизаторам" по "снижению" требований.
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
Фактически - сертификация всех используемых средств ЗИ. Если не сертифицировано - не является средством ЗИ.
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
Фактически - оценка соответствия / аттестация, выполняемая при создании системы ЗИ.
5) учетом машинных носителей персональных данных;
Здесь не совсем ясно - учет всех носителей (в том числе, установленных в АРМ/серверы) или только съемных. Форма учета - не определена, соответственно здесь может быть как учет в журналах, так и учет с использованием средств ЗИ (в том числе средств контроля доступа к портам ввода/вывода).
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
Обнаружение вторжений, анализ защищенности, аудит. Что очень важно - не просто настройка параметров регистрации, но и анализ журналов, а также принятие мер по результатам анализа. Соответственно нужен квалифицированный/обученный сотрудник.
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
Резервное копирование и восстановление данных (а не только ведение двух копий средств ЗИ). Средство резервного копирования в таком случае также становится средством ЗИ со всеми последствиями.
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
Разграничение доступа, регистрация и учет. Причем "учета всех действий, совершаемых с ПДн" приводит к необходимости регистрации и учета (аудита) на уровне специального (прикладного) ПО, которое также становится средством ЗИ.
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Периодический контроль (он же инспекционный контроль).
