вторник, 1 ноября 2011 г.

Чудны дела твои


Прелюбопытные материалы по результатам проверки Роскомнадзором соблюдения правил обработки ПДн в одной из организаций довелось мне сегодня почитать. Все как обычно: из указанного ведомства пришла "бумага" о предстоящей внеплановой проверке, цели, сроках - в общем, все как положено. А вот дальше начались "чудеса": изначально в графе "привлекаемые эксперты" значилось "не привлекаются" но, спустя некоторое время, в организацию пришло дополнение о том, что к проверке привлекается ... специалист УМВД РФ.

Как вы думаете, что проверял этот специалист? Ни за что не догадаетесь: ТЕХНИЧЕСКУЮ ЗАЩИТУ персональных данных, обрабатываемых в ИСПДн! Более того, найденные им недостатки были отражены Роскомнадзором в соответствующих предписаниях, а именно:
  • отсутствие журналирования доступа пользователей к персональным данным в ИСПДн;
  • отсутствие порядка учета жестких дисков (!) серверов и рабочих станций, на которых обрабатываются ПДн;
  • отсутствие системы контроля доступа на входе в серверное помещение;
  • отсутствие журнала учета технических средств защиты ПДн в ИСПДн.
Лично у меня возникает два вопроса: давно ли ФСТЭК передала МВД свои полномочия по контролю исполнения требований по технической защите ПДн в ИСПДн, и на каком основании специалист УМВД посчитал, что указанные меры обязательны для применения в ИСПДн, требуемый уровень защищенности которой и меры, необходимые для его реализации, отсутствуют пока даже в проекте?

Комментариев нет :

Отправить комментарий