01.10.2009

Что думает ФСТЭК о своих документах по ПДн

Лежит у меня перед глазами официальное письмо ФСТЭК в одну отечественную организацию, в котором она (т.е. ФСТЭК) отвечает на ряд вопросов. Не буду пересказывать все 5 страниц этого манускрипта, коснусь только ключевых моментов:
  1. Четвере документа ФСТЭК "содержат информацию ограниченного доступа, не являются нормативными правовыми актами и не требуют особой процедуры их опубликования". Где там информация ограниченного доступа? И как быть с требованием наличия лицензии на ТЗКИ, которая меняет правовой статус оператора ПДн и, следовательно, требует выполнения ПП-1009 (которое в письме, кстати, тоже упоминается, но в контексте "Приказа трех").
  2. "В пакете документов ФСТЭК сохранена преемственность подходов ранее разработанных документов, а для ряда классов информационных систем они значительно упростились". Про преемственность - полная правда. Документы по гостайне или коммерческой тайне очень похожи на четверокнижие. А про упростились, видимо ФСТЭК имеет ввиду 4-й класс ИСПДн ;-)
  3. Методички ФСТЭК утверждены в феврале 2008 года, т.е. до вступления в силу Постановления Правительства РФ от 5 марта 2009 г. о коррупциогенности и "не требуют проведения эксперты в целях выявления в них положений, способствующих созданию условий для проявления коррупции". Согласен, если бы ФСТЭК не изменял свои документы уже несколько раз. Правда, каждый раз изменения касаются всего, кроме даты подписания ;-) Она по-прежнему - февраль 2008 года.
  4. "В настоящее время ФСТЭК России проводит работу по приведению в соответствие с ФЗ-294 документов ФСТЭК по вопросам проведения государственного контроля и надзора". Хотелось бы посмотреть ;-)
  5. Для аттестации ИСПДн 1, 2 и 3-го распределенного класса можно привлечь любого лицензиата ФСТЭК.

Вот такое письмо. Написано согласно законам бюрократии - текста много, пользы ноль. Зато формальности соблюдены ;-(

16 коммент.:

kreol комментирует...

Под информацией ограниченного доступа ФСТЭК имееет ввиду мероприятия по защите от ПЭМИН.

kreol комментирует...

По 4-му пункту на InfoSecurity ФСТЭК заявил, что в течение нескольких недель на сайте будут опубликованы открытые версии документов, точнее целых 2 ;-
). При чем это будут не отдельные методические документы, а выписки из ДСП-шных, в которых исключены мероприятия по ПЭМИН (оставлены ссылки на ДСП). Также заявили, что решают вопрос с регистрацией в Минюсте.

PS: вообще "порадовала" позиция регуляторов, которую можно свести к следующему: разработали отличные документы, выполняйте, не нравится - жалуйтесь.

Алексей Лукацкий комментирует...

Ну с МинЮстом они с весны решают ;-) Но они не пройдут проверку на коррупциогенность ;-(

swan комментирует...

2 Алексей
Вот еще один вариант - депутатский запрос на эту самую проверку...

Алексей Лукацкий комментирует...

Мысль! Я подумаю над этим

Алексей Тесцов комментирует...

Был вчера на конференции "Персональные данные", организованные Groteck. НА первый вопрос про наличие лицензии однозначный ответ был такой, что если оператор ПДн привлекает интегратора с лицензией, то самому оператору лицензия не нужна (конечно лишний повод для коррупции, но все же ;-)).
НА остальные вопросы ответа наверное нет и не будет.
По результатам мероприятия сделал вывод, что никто из "коммерческих интеграторов" до сих пор не смог разобраться с требованиями, не реализовал серьезных проектов по защите ПДн (Элвис, аттестовавший 68 объектов за 1,5 месяца не в счет).
Кстати, запомнилось выступление Леты, которая рекламировала свои "реализованные проекты по защите ПДн". НА первом же вопросе они раскололись, что одну систему они обследовали, а вторую задекларировали соответствие.
А вообще грустная картина - грамматические ошибки в слайдах и докладах, в каждом докладе интеграторы пытаются сформировать свой личный порядок защиты... Лично мне понравились учебные заведения - Академия АйТи и АИС.

CAt комментирует...

Тоже был вчера на семинаре по ПД,там присутствовал представитель РКН. Он заявил, что у них на сайте будут опубликованы 4 методички ФСТЭК, так как с них снят гриф ДСП. Однако я порыл сегодня их сайт, нашел только названия от методичек :)

CI комментирует...

Алексей, а Вы как человек, имеющий отношение к крупнейшему иностранному вендору, который имеет серьезную партнерскую программу по продвижению себя на рынок:
1. Сравнте эту программу и её прозрачные требования с требованиями (положением по лиценизврованию и тп) наших регуляторов, в т.ч. уровни, компетенции и т.п.
2. Оцените, как наши регуляторы могут за оставшиеся три месяца охватить своей "партнерской" программной все 7млн потенциальных клиентов.
3. Оценить можно еще и так: сколько готовится специалистов по аттестации и сколько их реально нужно, ну например в год.
4. Вывесте эти сведения и докладывайте в ваших выступлениях.
5. Можно собраться крупнейшими вендорами с открытым письмом Президенту, как это модно сейчас, и изложить эти наработки.
Вот это было бы реально интересно и, наверное, сдвинуло бы в реальную плоскоть эту работу. Действительно, хочется работать качественно и эффективно.

CI комментирует...

Алексей, точно такое же сравнение можно привести с процессом стандартизации в ISO посредством множества участников, голосование, открытое редактирование, проекты, коалиции. Всем понятно, что такое безопасность государства и рядом вопросов нужно заниматься в закрытом режиме, но ведь речь идет об информации простых людей, граждан, а также ведь и тех, кто из-за рубежа собирается к нам ее передавать, чтобы работать здесь, в том числе и Ваши коллеги. Уверен, конечно, что такие сравнения уже делались и неоднократно.

Анонимный комментирует...

На той же конференции я задал вопрос про коррупционность и вывешивание на сайте проекта в соответствии с ПП1009. Волчинская Елена Константиновна сказала так: ФСТЭК направил свои документы в МинЮст с целью получения заключения, что это не нормативные документы. Так что дума уже озаботилась. Все зависит от МинЮста. Ждем.
А вообще с точки зрения защиты - все останется как есть + СОКА (подскажите где купить, кроме Аргуса).
Вообще-то она же на свое мыло ждет конкретных предложений по внесению изменений в статьи ФЗ. Кто желает вложить свою лепту имеет смысл написать.
ZZubra

Алексей Лукацкий комментирует...

CI: Письмо Президенту уже есть. И не только ему. И не только письмо. И рассчеты ;-) Только не все публично делается ;-)

ZZubra: С ЕК уже активно работает сразу несколько рабочих групп, в которых я участвую ;-)

Анонимный комментирует...

Уточняю по конференции "Персональные данные".

1. ФСТЭК утверждает, что готовится опубликовать выписки из ДСПшных документов. Они должны появиться в ближайшее время.
2. Он же говорит, что готовит новые версии этих документов. И этого следует ожидать к концу года.
3. ФСБ говорит о том, что готовит новые версии своих доков. И тоже где-то к концу года (кажется).

Насколько я привык, эти сроки следует считать, как всегда, очень оптимистичными, и мгновенно ожидать этих изменений не стоит. И что Вы там у них на сайте ищете? Авось к весне разродятся.

В связи с этим некоторые "лаборатории" рекомендуют вообще не торопиться. Ато зажмем сами себе гайки, да еще лишние деньги вложим, а тут раз - и послабление!

Думаю, кардинальных послаблений ожидать не приходится."Не дождетесь!", как говаривал небезизвестный...

Скорее всего в настоящее время наиболее правильный сценарий: заявиться как оператор персданных (если не успел) и сделать вид, что что-то делаешь. Например, собрал нормативные акты, прикинул классификацию, встал в очередь на аттестацию... При прикидочных проверках пока этого хватает. Они видят, что оператор чешется и пока считают этого достаточным. Ежели, конечно, не заказная проверка. Но это уже выходит за рамки ИТ.

Но делать-то когда-то все же придется. Так что дерганья на уровне слушаний в думе и писем президенту смысл имеют. А еще, похоже, будут приветствоваться инициативы отраслевые. Мне кажется, на конференции регуляторы об них благосклонно отзывались (кажется). Глядишь, там можно повлиять и сформулировать по уму.

Во всем этом есть одна глупость: про реальную защиту персданных-то все забыли. Разговоры идут только о "подстилке", кто-то только банально пиарится. Блин!

Анонимный комментирует...

Уточняю по конференции "Персональные данные".

1. ФСТЭК утверждает, что готовится опубликовать выписки из ДСПшных документов. Они должны появиться в ближайшее время.
2. Он же говорит, что готовит новые версии этих документов. И этого следует ожидать к концу года.
3. ФСБ говорит о том, что готовит новые версии своих доков. И тоже где-то к концу года (кажется).

Насколько я привык, эти сроки следует считать, как всегда, очень оптимистичными, и мгновенно ожидать этих изменений не стоит. И что Вы там у них на сайте ищете? Авось к весне разродятся.

В связи с этим некоторые "лаборатории" рекомендуют вообще не торопиться. Ато зажмем сами себе гайки, да еще лишние деньги вложим, а тут раз - и послабление!

Думаю, кардинальных послаблений ожидать не приходится."Не дождетесь!", как говаривал небезизвестный...

Скорее всего в настоящее время наиболее правильный сценарий: заявиться как оператор персданных (если не успел) и сделать вид, что что-то делаешь. Например, собрал нормативные акты, прикинул классификацию, встал в очередь на аттестацию... При прикидочных проверках пока этого хватает. Они видят, что оператор чешется и пока считают этого достаточным. Ежели, конечно, не заказная проверка. Но это уже выходит за рамки ИТ.

Но делать-то когда-то все же придется. Так что дерганья на уровне слушаний в думе и писем президенту смысл имеют. А еще, похоже, будут приветствоваться инициативы отраслевые. Мне кажется, на конференции регуляторы об них благосклонно отзывались (кажется). Глядишь, там можно повлиять и сформулировать по уму.

Во всем этом есть одна глупость: про реальную защиту персданных-то все забыли. Разговоры идут только о "подстилке", кто-то только банально пиарится. Блин!

Анонимный комментирует...

Уточняю по конференции "Персональные данные".

1. ФСТЭК утверждает, что готовится опубликовать выписки из ДСПшных документов. Они должны появиться в ближайшее время.
2. Он же говорит, что готовит новые версии этих документов. И этого следует ожидать к концу года.
3. ФСБ говорит о том, что готовит новые версии своих доков. И тоже где-то к концу года (кажется).

Насколько я привык, эти сроки следует считать, как всегда, очень оптимистичными, и мгновенно ожидать этих изменений не стоит. И что Вы там у них на сайте ищете? Авось к весне разродятся.

В связи с этим некоторые "лаборатории" рекомендуют вообще не торопиться. Ато зажмем сами себе гайки, да еще лишние деньги вложим, а тут раз - и послабление!

Думаю, кардинальных послаблений ожидать не приходится."Не дождетесь!", как говаривал небезизвестный...

Скорее всего в настоящее время наиболее правильный сценарий: заявиться как оператор персданных (если не успел) и сделать вид, что что-то делаешь. Например, собрал нормативные акты, прикинул классификацию, встал в очередь на аттестацию... При прикидочных проверках пока этого хватает. Они видят, что оператор чешется и пока считают этого достаточным. Ежели, конечно, не заказная проверка. Но это уже выходит за рамки ИТ.

Но делать-то когда-то все же придется. Так что дерганья на уровне слушаний в думе и писем президенту смысл имеют. А еще, похоже, будут приветствоваться инициативы отраслевые. Мне кажется, на конференции регуляторы об них благосклонно отзывались (кажется). Глядишь, там можно повлиять и сформулировать по уму.

Во всем этом есть одна глупость: про реальную защиту персданных-то все забыли. Разговоры идут только о "подстилке", кто-то только банально пиарится. Блин!

Алексей Лукацкий комментирует...

Я прокомментирую:
1. Выписки уже есть. Завтра (07.10.09) в блоге один из таких примеров будет описан.
2. Новые документы тоже есть. Но они не смогли их провести через МинЮст и сделали просто. Внесли изменения в первую версию, а дату оставили ту же.
3. Про ФСБ я в блоге уже писал - сами документы уже готовы. К декабрю хотят пройти все согласования. Если успеют.
4. "Дерганья" в Думе намечены на 20-е октября. Участвует много заинтересованных лиц. Может и пробьют лобби регуляторов в части вопросов.
5. Отраслевые наработки тоже планируются. Как минимум, у банкиров и операторов связи. По другим пока сложно говорить.

Атаманов Г. А. комментирует...

На самом деле, что думает (и думает ли вообще)ФСТЭК не так уж и важно. Важно что оно делает. А делает оно свое дело (если исходить из интересов дела и государства) очень и очень плохо. По крайней мере в области защиты ПДн. Это пресловутое четырехкнижие, что называется, "без слез читать нельзя". Это образчик словесного жонглирования и терминологического эквилибра сдобренного грамматическими ошибками. Про методологию этих "документов" даже и говорить совестно. И что говорить, если основным каналом утечки информации в ИСПДн объявляется акустический, в то время как человек в состав ИСПДн не входит по определению. Видимо, по мнению авторов этих "опусов", "компы" с "компами" говорят. Остальное - в том же духе.
По всей видимости, именно поэтому они и стали ДСП. И подписал их не председатель, а его зам.
По уму, всем, что касается защиты ПДн: законом, постановлениями Правительства, НМД ФСТЭК, - должна была бы заняться Генеральная прокуратура, а не специалисты в области защиты информации. Даже поверхностный сравнительный анализ европейского, американского и российского законодательств, приведенный в Вашей презентации, наилучшее тому подтверждение.
Все это, перефразируя (уточняя, дополняя) одного известного ""героя" НАШЕГО времени", можно охарактеризовать так: "Хотели как лучше (для себя и своих лицензиатов), а получилось как всегда ("через пень-колоду").
Не исключаю, что они "протащат" какой-нибудь вариант через МинЮст. Но качество его будет тем же. Нельзя прыгнуть выше своей головы. Писать-то их будет все тот же "стихоплет" квазинаучным языком, без соблюдения элементарных правил русского языка, с полным пренебрежением логикой и без должного понимания сути проблемы.