вторник, 9 июня 2015 г.

Замечания к методике определения угроз

Здравствуйте, дорогие читатели! Как вы, наверное, помните, ФСТЭК принимает замечания к проекту Методики определения угроз безопасности информации в информационных системах до 10 июня, а так как я люблю откладывать все на последний момент, то я отправила свои предложения сегодня.

Здравствуйте! Направляю свои предложения по проекту "Методики определения угроз безопасности информации в информационных системах".


В Постановлении Правительства 1119 говорится о трех типах угроз, а в контексте данного документа понятие "типа" не рассматривается, хотя в Общих положениях сказано, что Методика может применяться для оценки угроз оператором персональных данных. Также в Постановлении 1119 сказано, что угрозы должны определяться с учетом оценки возможного вреда, а в Методике говорится о понятии ущерба (вред упоминается лишь косвенно). 
На мой взгляд, хорошим решением было бы выделение отдельного раздела для описания методологии определения типа угроз и вреда субъекту персональных данных в рамках Методики. 
Больше замечаний не имею, стиль и логика изложения документа достойны самой высокой оценки.

-- 
С уважением, Ксения Шудрова


На самом деле, написать замечания было довольно сложно и это скорее даже пожелание - выделить в отдельный раздел угрозы персональных данных. Документ очень целостный и по нему действительно можно работать, даже в том виде, в котором он сейчас, но предела совершенству нет. Теперь остается только ждать и гадать, каким же будет итоговый документ, будут ли в нем учтены предложения специалистов.

Страница ВК: http://vk.com/kshudrova - ссылки на свежие посты и интересные материалы других авторов.