Перед нами новый стандарт ГОСТ Р 59407–2021 «Базовая архитектура защиты персональных данных» из серии «Информационные технологии. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ».
Во введении утверждается, что «Настоящий стандарт предоставляет описания высокоуровневой базовой архитектуры и соответствующих мер защиты персональных данных в информационных системах персональных данных» и далее: «Настоящий стандарт не устанавливает требования для политик защиты ПДн; предполагается, что политики приняты и что в рамках ИСПДн определены требования защиты ПДн, а также реализованы соответствующие меры защиты ПДн».
На этом месте можно было бы поставить точку и дальше документ не читать. Но любопытство скорее нас одолеет, чем лень. Поэтому всё-таки посмотрим, а что же там.
Сознаюсь сразу, я только после третьего прочтения понял (мне хочется в это верить), зачем нужен такой стандарт. Стандарт переводной, носит «информационный» характер (по словам одного из авторов стандарта). Предназначен в основном для разработчиков ИСПДн. Именно для них будет наиболее полезен этот новый взгляд на то, не КАК, а ЧТО нужно делать на каждом уровне инфраструктуры и в каждом типе информационной системы.
Такие стандарты у нас сейчас не часто встречаются.
У нас пока большая редкость система, изначально предназначенная для обработки ПДн, мы в основном имеем дело с системами, занимающимися обработкой ПДн для чего-то своего, и специальные требования там учитываются, как правило, только для основной функциональности.
Приведу пример. Система обрабатывает ПДн субъекта не сама по себе, есть пользователь системы, который что-то делает с данными. При этом:
Те, кто в силу служебных обязанностей занимается процессами обработки и защиты ПДн в организации, знают, как непросто бывает приводить работающие системы в соответствие с требованиями. Стандарт при внимательном прочтении и применении способен сильно облегчить проработку архитектуры и составляющих компонентов будущих ИСПДн и снять эту серьёзную проблему.
Предлагаю читателям провести домашнюю работу: выписать 3 самых болезненных проблемы в приведении в соответствие с нормативными документами одной ИСПДн, а затем посмотреть, как бы выглядели эти болезни, если бы разработчики использовали этот стандарт. Очень интересный эффект. Если вы напишите в журнал о ваших результатах, это будет жизненное предметное продолжение обсуждения стандарта и возможностей его применения.
Хочу отметить ещё один нюанс, который вызвал неоднозначную реакцию читателей. Появилась, по сути, новая сущность в предметной области – ИСПДн субъекта ПДн. Это требует осмысления. При этом при первом подходе к этой сущности понимаешь, что системы, в том числе компьютеры, планшеты, смартфоны и прочие гаджеты, с которыми непосредственно имеет дело пользователь, требуют специального рассмотрения.
Если значимость идентификации и аутентификации всех участников информационного взаимодействия не вызывает сомнения, то отдельная глава, посвящённая шифрованию, как универсальному средству защиты данных сильно преувеличивает его место и значение.
И в заключение хочу выразить благодарность авторам стандарта и статьи, и отдельную благодарность С.В. Вихореву за его вклад в совершенствование нормативной базы по защите информации.
.jpg)
