Приказ трех по классификации ИСПДн отменен официально

Законодательство
И вот, наконец, «приказ трех» об отмене «приказа трех» по классификации ИСПДн официально зарегистрирован в Минюсте и вступил в действие. Фактически «приказ трех» и так прекратил свое действие после выхода ПП-1119 и отмены ПП-781, во исполнение которого и создавался «приказ трех». Но у нас юридических доктринальных принципов не понимают и хотят бумажку с подписями и печатями 🙂 Вот она!

Теперь ждем, когда РКН изменит свой приказ с формой уведомления и начнем жить по новому. Кстати, на вопрос о том, как оформлять уровни защищенности могу ответить — также как и акты классификации ИСПДн. Только называться он будет акт определения уровня защищенности. Чтобы не сильно задумываться, что в этот акт включать, я взял да и переделал шаблон акта классификации, который готовился в свое время в рамках рабочей группы ЦБ и АРБ по подгоготовке 4-й редакции СТО БР ИББС.

ЗЫ. Скачать акт в формате Word можно по ссылке.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Александр Германович

    Полезная информация, спасибо! На практике кое-где РКН до сих пор требует предъявить акт классификации.

    А для верности в Акте хорошо бы сослаться на уже разработанную МУ (например: "в соответствии с Моделью угроз БПДн, инв. ______ " ).

    Ответить
  2. Canis

    Этот комментарий был удален автором.

    Ответить
  3. Canis

    В акте не хватает ссылки на Модель угроз и определения Оценки вреда — это как минимум формальные требования 1119.

    Ответить
  4. Анонимный

    Canis, Оценку вреда как мне кажется можно сделать в рамках Модели угроз при оценке опасности угрозы (оценке последствий для субъекта от ее реализации).

    Ответить
  5. Unknown

    Ну нет у меня аккаунта в Фейсбуке!
    Как же скачать этот документ?
    Сергей Муравьёв

    Ответить
  6. Unknown

    Т.е. акты классификации ПДн официально канули в лету ?

    Ответить
  7. Алексей Лукацкий

    Serg Mur: ссылка ведет на scribd, а не на ФБ 🙂 Я не вижу в этом акте ничего сверхестественного, чтобы его нельзя было за часик сваять самому 🙂

    Ivan Petrov: не ПДн, а ИСПДн

    Ответить
  8. Алексей Лукацкий

    Canis: уровень защищенности никак не зависит от модели угроз. Она только детализирует угрозы определенного типа. По закону оператор ПДн сейчас не имеет права разрабатывать модель угроз — так что формально ссылаться не на что. Хотя фактически многие по-прежнему делают модель самостоятельно

    Ответить
  9. Александр Германович

    "уровень защищенности никак не зависит от модели угроз. Она только детализирует угрозы определенного типа"

    Однако, не имея модели угроз, мы не сможем определить их тип, и, следовательно, УЗ.

    "По закону оператор ПДн сейчас не имеет права разрабатывать модель угроз — так что формально ссылаться не на что. Хотя фактически многие по-прежнему делают модель самостоятельно"

    Вы намекаете на необходимость иметь лицензию? А к какому виду работ и услуг Вы относите разработку МУ?
    А если говорить о ГИС, то там оператор ИС даже обязан ее разработать.

    Ответить
  10. Алексей Лукацкий

    Определить тип актуальных угроз — много ума не надо. Достаточно принять, что НДВ неактуальны и все. У нас останутся только угрозы 3-го типа. Для этого МУ не нужна.

    Про лицензию я не намекаю — она тут вообще не причем. Я намекаю на то, что по закону право разрабатывать модель угроз лежит на закрытом перечне лиц, в который оператор не входит.

    Вот тут http://lukatsky.blogspot.ru/2013/06/8_13.html подробнее про это

    Ответить
  11. Александр Германович

    1.Просто так взять и принять? Или нужно как-то обосновать? В ПП-1119 сказано, что "угрозы 1 (2) типа актуальны … если для ИС в том числе актуальны угрозы, связанные с наличием НДВ …". Т.е. если среди перечня актуальных угроз имеется угроза наличия НДВ. А перечень актуальных угроз есть результат построения МУ. Вроде так?

    2.И Вы по ссылке, и сложившаяся практика опровергают столь категоричное утверждение. К какой отрасли относится упомянутый Вами интернет-магазин? Опять же, в ходе проверок регуляторы спрашивают модель угроз, не принимая во внимание: разработал ли соответствующий госорган "нормативные правовые акты, в которых определяют угрозы безопасности персональных данных" или нет. Думаете, все еще изменится и госорганы ринутся писать типовые модели?

    Ответить
  12. Unknown

    Здравствуйте, Алексей.
    Согласно 152 ФЗ Статья 19, п 2.1 Оператор определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.
    В шаблоне вашего акта:
    1. Вы определяете уровень защищённости информационной системы. В постановлении Правительства 1119 фигурирует следующая формулировка "уровень защищенности персональных данных при обработке персональных данных в информационных системах", т.е. уровень защищённости должен присваиваться не информационной системе, а персональным данным.
    2. "В соответствии с порядком определения уровня защищённости, утверждённым Постановлением Правительства от 1 ноября 2012 года №1119…". Постановление 1119 не утверждает порядок определение уровня защищённости, оно утверждает требования к защите персональных данных при их обработке в информационных системах персональных данных и отменяет 781 постановление.
    3. Акт называется "Акт определения уровня защищённости", а в конце звучит "Установить информационной системе персональных данных". Логичнее было бы "определить уровень защищённости…" или "установить необходимость обеспечения уровня защищенности” (как написано в Требованиях.

    Ответить
  13. Алексей Лукацкий

    Александр: просто взять и принять, т.к. в ПП-1119 говорится об экспертной оценке. Я прекрасно понимаю, что модель угроз все верстают сами (сам не раз делал), но с точки зрения закона это нелегитимно. Поэтому мы в СФ вносили в законопроект по ПДн право оператору до момента принятия отраслевой модели угроз принимать такую модель самостоятельно

    Ответить
  14. Алексей Лукацкий

    Алексей, я этот акт делал за 5 минут и не сильно проверял. Просто править что-то всегда проще, чем писать с нуля. С этой целью и выкладывал файлик

    Ответить
  15. Wolkodlak

    Акт уже не открывается — заблокирован провайдером по указке роскомнадзора =)

    Ответить