?

Log in

No account? Create an account

Previous Entry | Next Entry

Сами проекты на сайте ФСБ:

Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных

О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных

1) Пункт 2 части 3 статьи 19 152-ФЗ (здесь и далее в редакции 261-ФЗ от 25.07.2011) устанавливает, что Требования к защите ПДн должны быть таковы, что их исполнение обеспечивает установленные Уровни защищенности.

Требования к защите, изложенные в проекте положения никак не соотносятся с Уровнями защищенности, что прямо противоречит названной норме ФЗ.

2) Часть 4 статьи 19 152-ФЗ устанавливает, что состав и содержание Требований к защите для каждого из Уровней защищенности устанавливаются ФСБ и ФСТЭК в пределах их полномочий.

Требования к защите, изложенные в проекте положения однозначны и конкретны и не предполагают дифференциации на основе определяемых на предыдущем этапе Уровней защищенности.

3) Из текста проекта положения определяющего Требования к защите также не следует, что их состав и содержание будет впоследствии уточняться соответствующими нормативными документами ФСБ и ФСТЭК. Данное обстоятельство создает предпосылки для различной трактовки впоследствии конкретизированных требований, а, следовательно, создает предпосылки для коррупции.

4) Часть 5 статьи 19 152-ФЗ устанавливает, что ОИВ, Банк России, иные государственные органы принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

Пункт 13 положения о порядке определения уровней защищенности устанавливается, что Оператор на основе угроз безопасности персональных данных формирует модель угроз и определяет их актуальность в соответствии с НПА ФСТЭК и ФСБ – что прямо противоречит части 5 статьи 19.

5) В пункте 14 положения о порядке определения уровней защищенности устанавливается, что Оператор на основе модели угроз определяет категорию нарушителя, но методика определения категории нарушителя не приводится, нет также отсылки к НПА, в котором эта методика определена или будет определена. Данное обстоятельство является существенным коррупциогенным фактором, так как Оператору становится невозможно однозначно определить категорию потенциального нарушителя.

6) Возможность с разрешения ФСТЭК и ФСБ установить уровень защищенности ниже требуемого в соответствии с положением о порядке определения уровней защищенности – ставит Операторов в неравное положение перед нормами законодательства и является обстоятельством, по сути, поощряющим злоупотребления должностных лиц ФСТЭК и ФСБ.

Обсуждаем, будем готовить заключение.

Метки:

Profile

avetyan
Артем Аветян
Разработано LiveJournal.com
Designed by Lilia Ahner