Главная » Блоги Экспертов И ИТ-Компаний » CЗПДн. Анализ. ИСПДн c общедоступными и обезличенными ПДн

CЗПДн. Анализ. ИСПДн c общедоступными и обезличенными ПДн

По материалам блога http://sborisov.blogspot.ru/

 

Подписано ПП №1119, о проекте которого я уже писал в предыдущей заметке.  К замечаниям, которые я  приводил в данной заметке, добавляется следующее.

 

В данный момент в большей части информационных систем или технологических процессов обрабатываются общедоступные персональные данные или малоценные обезличенные персональные данные.

 

Примерами таких систем или технологических процессов являются:

·        Корпоративные справочники сотрудников

·        Перечни учетных записей пользователей в любом приложении (например, имя, должность, логин, контактный телефон)

·        Перечни учетных записей пользователей в любом корпоративном сервисе, таком как AD, телефония

·        Клиентские кабинеты на web портале (имя, логин, емейл)

·        Любые онлайн формы для обращений клиентов (имя, емейл, контактный телефон)

·        Кол.центры для работы со звонками клиентов в которых записывается имя, телефон.

 

Из опыта предыдущих проектов могу сказать, что например в организации  - операторе из 1000 сотрудников, порядка 100 являются полноценными пользователями ПДн, а оставшиеся 900 работают только с общедоступными или малоценные обезличенными ПДн. Соответственно эти 100 пользователей защищались сертифицированными СЗИ, остальные 900 пользователей встроенными средствами безопасности имеющимися в системах и сервисах.

 

Руководствуясь 152-ФЗ 2.0 и ПП №1119 мы получаем что:

·        ИСПДн с общедоступными ПДн, полученными непосредственно от субъекта вместе с согласием на общедоступность – ИСПДн обрабатывающая иные категории ПДн (ИСПДн-И)

·        ИСПДн с неценными обезличенными ПДн – ИСПДн обрабатывающая иные категории ПДн (ИСПДн-И)

 

Далее устанавливаем уровень защищенности. Даже если тип актуальный угрозы 3-его типа получаем 3 и 4 уровень защищенности ПДн и как следствие получаем необходимость использования сертифицированных СЗИ для защиты этих ПДн.

 

В результате мы с вами существенно теряем в гибкости при защите ПДн, вынуждены будем увеличить бюджеты на СЗПДн как минимум в 10 раз, а онлайн обращения и услуги вообще оказываются вне закона.

 

Почему я не писал об этом в прошлой заметке? Потому что в проекте ПП применение сертифицированных СЗИ требовалось только с 2 уровня защищенности. И это было бы разумным компромиссом при защите общедоступных или малоценные обезличенные персональные данные.

 


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>