Эксперты по информационной безопасности без энтузиазма встретили подписание Дмитрием Медведевым новых нормативов обработки персональных данных, содержащихся в постановлении главы правительства носит №1119. Управляющий партнер агентства «Емельянников, Попова и партнеры» Михаил Емельянников напоминает, что постановление №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» содержит «характерные для последних регламентирующих документов в области информационной безопасности вообще и персональных данных в частности проблемы и недостатки». Оно активно критиковалось специалистами-практиками еще на этапах подготовки документа, обсуждения и оценки регулирующего воздействия, однако, мнение профессионалов так и не было услышано, сожалеет эксперт. Напомним, что постановление №1119 было подписано Дмитрием Медведевым 1 ноября 2012 г. «Содержание постановления не соответствует требованиям ФЗ «О персональных данных», - говорит эксперт. Этот закон поручал правительству установить уровни защищенности персональных данных при их обработке в информационных системах и требования, исполнение которых обеспечивает установленные уровни защищенности, в том числе с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которой обрабатываются персональные данные, актуальности угроз безопасности персональных данных. Однако, в постановлении не указаны способы и порядок учета возможного вреда субъекту и вида деятельности оператора при реализации защитных мер. Эта работа перекладывается на самого оператора, у которого, как правило, для этого нет ни специалистов, ни должного понимания вопроса. Массу вопросов вызывает используемая в «Требованиях» классификация возможных типов угроз безопасности в зависимости от наличия недекларированных возможностей (НДВ) в системном и прикладном программном обеспечении. При этом никаких требований к сертификации операционных систем и приложений, обрабатывающих персональные данные, ни в постановлении, ни в других нормативных актах не выдвигается, а средства защиты информации, даже и прошедшие оценку соответствия в форме обязательной сертификации, угрозы использования злоумышленником недекларированных возможностей (НДВ) никак не нейтрализуют и нейтрализовать не могут. В чем тогда смысл выделения именно этих типов угроз и как с ними бороться, остается непонятным, удивляется Емельянников.
Более подробно