01.04.2009

На смену требованиям ФСТЭК по персданным идут требования Минсвязи?

Как-то забыл пройтись по этой мартовской новости. "Министр связи и массовых коммуникаций РФ Игорь Щеголев поручил Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) разработать и ввести новые стандарты в области защиты персональных данных".

Как это соотносится с тем, что за разработку требований и стандартов в области ИБ у нас отвечает ФСТЭК, а Роскомнадзор к этому имеет ну очень опосредованное отношение, я пока не понимаю ;-(

22 коммент.:

Quiet Zone комментирует...

У государства избыток правых и левых рук, не знающих кто из них что делает:) ИМХО можно наблюдать борьбу за сферы влияния *покупает попкорн, устраивается поудобнее*

Алексей Лукацкий комментирует...

А пока ты ешь попкорн, тебя заставят выполнять требования ФСТЭК, ФСБ и РКН ;-)

swan комментирует...

Складывается впечатление что нас специально путают, чтоб мы вместо того, чтоб делом заниматься.. отвлекаемся на всякую фигню...

Mikhail комментирует...

а самое весёлое будет, когда требования правой и левой рук окажутся несовместимыми друг с другом, выполняя одно из них, автоматически нарушаешь другое. ..

Игорь Хайров комментирует...

У нас в России как всегда будет весело, когда требования правых и левых рук будут не совместимы и руки сомкнутся, между ними окажутся операторы ПДн... И, в этот момент от операторов ничего может не остаться...

swan комментирует...

ту Mikhail
Такое уже есть... ))) и много уже )))

Алексей Лукацкий комментирует...

Если от 7 миллионов операторов ничего не останется, кто же останется в России?

Анонимный комментирует...

Просто Щёголев не в теме, он же - журналист, ему ближе СМИ.. И сказал - как ему сказали "нужные" люди...

Анонимный комментирует...

Минкомсвязи РФ считает необходимым ввести новые стандарты и области защиты прав субъектов, персональных данных.
http://www.privacy.itp-lc.ru/events-pd/2009/03/26/

Защита персональных данных и защита прав субъектов ПДн разные вещи...

Golomidov комментирует...

Алексей, ну что же тут непонятного? Вы уж совсем простаком-то не прикидывайтесь. У ЦБ есть свой стандарт? Есть. Требования ФСТЭК, скажем так, спорны. Поэтому Минсвязи, по моему мнению, хочет сделать требования для подконтрольных ей структур. И это очень логично и разумно. Всё имхо, конечно.

Quiet Zone комментирует...

Golomidov - логично было бы, если бы "подконтрольные структуры" (т.е. операторы связи) работали по стандартам Минсвязи, а остальные - по ФСТЭК. А пока всем придется рабоать по требованиям ФСТЭК, а операторам связи дополнительно еще и по отраслевым стандартам. И если требования будут разниться, то все это будет сильно напоминать известный акробатический прием, который принято называть шпагат. Это в том случае, если требования стандартов Минсвязи будут актуальны только для операторов связи. А в исходном сообщении говорится и об информационных системах вообще, и о "государстве, которому доверили", и об операторах связи. Короче, нужно видеть область действия стандартов - без этого выводы о логичности и тем более разумности делать, имхо, преждевременно:)
PS Вообще все это все больше угнетает. Как замечательно выразился Ньютон, энтропия не может уменьшаться. Видимо наши законодатели близко к сердцу приняли Третий закон, а потому в сфере защиты ПДн беспорядок нарастает просто-таки пугающими темпами:(( Ей богу, мне все это предстоит на своем предприятии, и "куда бежать" я пока однозначно сказать не могу.

Алексей Лукацкий комментирует...

Quiet Zone: Это не логично ;-) А что делать тому же Лукойл-Информу, который одновременно и оператор и просто пользователь и интегратор и лицензиат ИБ? Ему какие требования выполнять?

Логично, когда есть одна структура, которая отвечает за все ;-) Или есть две структуры - одна отвечает за госорганы, вторая - за коммерческий рынок. Второй сценарий и пытается продвигать Минсвязь последнее время.

Анонимный комментирует...

Quiet Zone пишет...
...А пока всем придется работать по требованиям ФСТЭК..


Уважаемый, а на сегодняшний день в области ПДн есть такие обязательные для всех требования?
Четверокнижие ФСТЭК или СТР-К, да?
Не смешите, плз...

Алексей Лукацкий комментирует...

Анонимному: Есть. Требования ФЗ-152, Постановлений Правительства и Приказ по классификации. Они обязательны для всех. Также обязательны требования ФСБ.

Вопрос только с требованиям ФСТЭК.

Анонимный комментирует...

Речь шла только о требованиях ФСТЭК. Из приведенных Вами, Алексей, актов, только в совместном приказе есть такие требования. Документы ФСБ не в счет, так как ФСБ занимается гостайной, а ПДн в это понятие не входит, за небольшим исключением, конечно. В остальных - всё достаточно не конкретно, что позволяет применять принцип: что не запрещено законом - разрешено..

Quiet Zone комментирует...

Алексей, я ж жеж про это и говорю. Если предприятие попадает под действие одного набора требований, оно автоматически должно выводиться из под действий другого.
Анонимному: я считал бы день неудавшимся, если бы мне не удалось Вас рассмешить, рад что мне это удалось:) Да-да, уже тысячу раз говорили о необязательности. Это по закону. Но государство наше частенько живет по понятиям, неужели не знаете? И я хотел бы посмотреть на реакцию уполномоченного органа, которму, воткнув в землю рога, заявят о необязательности требований ФСТЭК. Что, СТР-К не выполняли? Или м.б. Ваш инфантилизм подталкивает Вас к вере в то, что требования Стандарта ЦБ (в отличие от PCI DSS) не обязательные? Ну-ну. Поговорите с кем-нибудь из банка. Те, кому не повезло, уже столкнулись с аудиторами и "необязательными" требованиями ЦБ. Сказано было просто - не выполните "отключим газ". Да, самоуправство. Но бизнес предпочтет выполнить требования, чем судиться с неповоротливым государственным органом, тем более под страхом лишения лицензии, то есть полной остановкой. ЗЫ Кстати, касательно данной Вами ссылки: приведенная в самой статье (а не заголовке) цитата (" чтобы новые информационные системы, которые внедряются, не допускали утечек") свидетельствует именно о требованиях к системам. Ясен пень, их ужесточение опосредовано имеет влияние и на защиту прав.

Анонимный комментирует...

To Quiet Zone
Про инфантилизм эт Вы, конечно загнули, но спасибо... )))

Да, банки - это круто, конечно.
Но основную часть операторов ПДн составляют не они...

И объясните, пожалуйста причем здесь уполномоченный орган и требования ФСТЭК? Ведь ст.19 ясно разделяет полномочия. Может уполномоченный орган возьмет на себя ещё функции ГИБДД, пожнадзора и других надзоров?

Указанная Вами "приведенная мной цитата" - не моя...))

Quiet Zone комментирует...

Анонимный: Банки и страховые компании будут первыми, уверен на 99%, даже спорить не буду.
Под уполномоченым органом я понимал произвольный уполномоченный орган (прецедентов пока не знаю, потому и говорить наверняка не могу), а не вполне конкретный Уполномоченный орган по защите прав субъектов. Возможно, это будет сам ФСТЭК (что подтверждают некоторые бывшие работники ФСТЭК, ныне занимающиеся защитой ПДн).
Насчет цитаты спорить не буду, ибо говорил про ссылку, будьте внимательнее;)

Алексей Лукацкий комментирует...

Анонимному: Почитайте ПП-781, п.3, 6, 9 и т.д., а также ПП-960, п.8.15.

Анонимный комментирует...

Quiet Zone пишет...
Под уполномоченым органом я понимал произвольный уполномоченный орган (прецедентов пока не знаю, потому и говорить наверняка не могу), а не вполне конкретный Уполномоченный орган по защите прав субъектов.


А я, наивный, признаться думал, что уполномоченный орган определен ст.23 152-ФЗ, и он существует..
Спасибо, что просветили...

Quiet Zone комментирует...

Анонимному - не надо ерничать. Или вы отличаете имя собственное от простого существительного? Тогда для Вас не будет открытием, что имя собственное пишется с большой буквы, а "Уполномоченный орган" это не тоже самое, что уполномоченный орган. Впрочем это уже неважно, ведь Вы поняли, о чем я и дальнейшая дискуссия бессмысленна.

Анонимный комментирует...

Соглашусь с вами. Дискуссия по этому вопросу действительно бессмысленна, тем более, что 152-ФЗ не умеет различать имя собственное от простого существительного, и определяет название этого органа как простое существительное...