Чудны дела твои

Прелюбопытные материалы по результатам проверки Роскомнадзором соблюдения правил обработки ПДн в одной из организаций довелось мне сегодня почитать. Все как обычно: из указанного ведомства пришла "бумага" о предстоящей внеплановой проверке, цели, сроках - в общем, все как положено. А вот дальше начались "чудеса": изначально в графе "привлекаемые эксперты" значилось "не привлекаются" но, спустя некоторое время, в организацию пришло дополнение о том, что к проверке привлекается ... специалист УМВД РФ.

Как вы думаете, что проверял этот специалист? Ни за что не догадаетесь: ТЕХНИЧЕСКУЮ ЗАЩИТУ персональных данных, обрабатываемых в ИСПДн! Более того, найденные им недостатки были отражены Роскомнадзором в соответствующих предписаниях, а именно:

• отсутствие журналирования доступа пользователей к персональным данным в ИСПДн;
• отсутствие порядка учета жестких дисков (!) серверов и рабочих станций, на которых обрабатываются ПДн;
• отсутствие системы контроля доступа на входе в серверное помещение;
• отсутствие журнала учета технических средств защиты ПДн в ИСПДн.

Лично у меня возникает два вопроса: давно ли ФСТЭК передала МВД свои полномочия по контролю исполнения требований по технической защите ПДн в ИСПДн, и на каком основании специалист УМВД посчитал, что указанные меры обязательны для применения в ИСПДн, требуемый уровень защищенности которой и меры, необходимые для его реализации, отсутствуют пока даже в проекте?