02.07.2008

4 документа ФСТЭК: краткий анализ. "Основные мероприятия по защите персональных данных"

Как вы знаете ФСТЭК разработал 4 документа по защите персональных данных, самым интересным из которых является документ «Основные мероприятия по защите персональных данных, обрабатываемых в информационных системах персональных данных». Именно в данном документе описываются конкретные технические меры защиты применительно к информационным системам, классифицированным в соответствие с ранее принятым «Приказом трех».

Проанализировав данный документ, был разработан Video-on-Demand, подробно рассматривающий мероприятия, которые должны будут выполнены.

VoD расположен на сайте Cisco.

Длительность VoD: 1 час 28 минут

ЗЫ. Данный VoD не является официальной позицией компании Cisco, а описывает личную точку зрения автора VoD, т.е. меня.

8 коммент.:

Ригель комментирует...

Закрывая глаза на подробности, главная фигня в том, что ФСТЭК не смогла осознать принципиальную новизну ситуации и подошла к ПД с теми же методами, к которым привыкла по гостайне.

Но существенная разница в том, что операторами гостайны в-основном являются крупные организации с соответствующими бюджетами на защиту (собственными или специально на эти нужды государством выделяемыми), а операторами персональных данных - мелкие.

Не, есть, конечно, несколько супермегаоператоров типа налоговой или регистрационной палаты, и все. Практически весь крупный бизнес откашивает малой кровью, т.к. обрабатывает во исполнение договора с субъектом (в т.ч. банки, сотовые операторы и т.п.) или и вовсе крутит только данные своих работников, с которыми опять же договор.
А остаются, млять, магазин женского тряпья, который дисконтные карты раздает в обмен на анкеты, да ресторан, который своих постоянных клиентов уведомляет, что меню доставки пополнилось новыми блюдами, да детский сад, в котором записаны координаты для экстренной связи с обоими родителями и бабушкой (а сторона по договору - только один из них) и т.п.
Борьба с ПЭМИН в ресторане? Зашумление по виброакустике в парикмахерской? Ха-ха три раза.

В очередной раз избыточная суровость закона обеспечивает невозможность его повсеместного исполнения.

Алексей Лукацкий комментирует...

Я соглашусь. Более того, складывается впечатление, что ФСТЭК в огромной спешке выпускала данные документы. Там столько ляпов и, не побоюсь, бреда, что страшно представить.

Ригель комментирует...

Между прочим, в Трудовом Кодексе automated уже 7 лет переведено как автоматизированная (запрещается принятие решений с последствиями исключительно на основании автоматизированной) - и фигня, никого не парит.

Алексей Лукацкий комментирует...

Ну кстати automated ближе к "автоматизированной", чем automatic ;-)

arkanoid комментирует...

Почему оно дает скачать mp3, а вот видео - только при наличии плагина?

Вообще говоря, феерия какая-то. Требования просто тупо невыполнимы для большинства операторов.

Алексей Лукацкий комментирует...

Потому что mp3 скачивать я разрешил ;-)

И я про то же - требования для всех невыполнимы.

Анонимный комментирует...

читаю документы ФСТЭК и плачу...

это же шедевры!
"Помещения, в которых устанавливаются аппаратные средства ИСПДн, выбираются с учетом их экранирующих свойств, расстояния до границы контролируемой зоны и значения зоны 2, указанной в предписании на эксплуатацию аппаратных средств ИСПДн."

Авторы, наверное, забыли, что пишут по ПДн, не относящиеся к государственной тайне. Или просто лень подумать и написать что-то новое?
Как мы должны поступать?! Выдавать секретные предписание на эксплуатацию и протокол специсследований каждой поликлинике или санаторию, несмотря на отсутствие РСП в оных? Или рассекречивать документы, исполненные по секретным методикам, идя на нарушение требований ФСБ?
Во временной методике по ПЭМИ для конфиденциалки (а другой для ПДн просто нет) понятие реального затухания сигнала отсутствует как класс! Какие экранирующие свойства!?

Далее…
Много написано про системы пространственного зашумления. «…максимальный уровень помехового сигнала в местах возможного размещения аппаратуры перехвата.»

Методики по контролю эффективности установленных средств защиты для конфиденциалки просто НЕТ!!! А если даже взять для аналогии секретную, то способ измерения помех от генераторов шума идет в разрез с физикой! Да и максимальный уровень помехи в точке перехвата не дает гарантии, что на более дальнем(!) расстоянии перехват невозможен! Это все не говоря уже о том, что для перехвата информации с монитора в густонаселенном офисе нужна аппаратура размером с кунг для ГАЗ-66!

я понимаю, что ответов на эти вопросы я, возможно, не получу...
это так... первые впечатления от прочитанного.
удачи всем нам! чего же еще...

Алексей Лукацкий комментирует...

;-)