03.02.2010

Рекомендации по ПДн от 4CIO

Продолжаю краткий анализ существующих рекомендаций по приведению себя в соответствие с ФЗ-152. Теперь настал черед рекомендаций клуба 4CIO. У них получилась этакая сводка ключевых фактов по данной теме - основные понятия, регуляторы, наказание, законодательство и т.п. Но очевидно, что авторы рекомендаций не сильно погружались в тему, т.к. никакого серьезного анализа законодательства, требований регуляторов... И никакого критического анализа, попыток найти способы оптимизации своих усилий.

Рекомендации классические - классификация ИСПДн, изучение документов ФСТЭК, построение модели угроз, реализация защитных мер, уведомление РКН. Правда, не говорится, как построить модель, как правильно классифицировать ИСПДн или понизить класс, как уйти от параноидальных требований по защите, изложенных в первой версии четверокнижия...  Перечень внутренних документов, которые должны быть "по теме" меньше нужного в 4 раза ;-(

А вот дальше уже интереснее. Идет раздел, в котором аккумулированы мнения ИТ-директоров различных компаний. Вот здесь есть, что посмотреть и почитать ;-) Написано и про аппетит интеграторов, и про нежелание тратить деньги в кризис, и про "секретность" документов ФСТЭК. Потом идет парафраз о "пользе" сертифицированного ПО.

В качестве приложений приведен список интеграторов, занимающихся ПДн, список сертифицированного ПО и оборудования и контакты регуляторов.

8 коммент.:

Анонимный комментирует...

Почем, интересно, первые строчки в списке контактов интеграторов (:

Анонимный комментирует...

"Пособие" устарело... И "Четверокнижие" уже не ДСП, и сроки перенесены... И судя по всему подход у регуляторов меняется...

Алексей Т. комментирует...

Да уж, не совсем адекватная рекламка получилась. :-) Не бросает ли данный документ тень на 4CIO? Непонятны цифры стоимости, раз уж приводят интеграторов (думаю, не без ведома интеграторов), то привели бы примерную стоимость решений каждого интегратора - чтобы быть честными до конца. Практическая ценность есть только у разделов с выписками из ФЗ и кодексов. Про актуальность всем и так понятно.

Vlad комментирует...

Ну так мероприятие было уж очень давно - 12 ноября 2009 )))
В теме ПДн все меняется очень стремительно, чтоб ориентироваться на столь "древние" рекомендации...

Анонимный комментирует...

Как Интегратор из этого списка могу сказать, что нам ничего не стоило. Мы участвовали на мероприятии и нам предложили быть в буклете. В результате мы в нем.

Andrew комментирует...

Коллеги, мне кажется укоризна в сторону 4СИО не вполне справедлива. Как член программного комитета данной конференции хочу заверить, что список интеграторов формировался не на коммерческой основе, а на основе того, кто на тот момент мог что-то внятное по теме сказать. Это раз. Второе - на тот момент собрали ровно те знания, которые получилось и никто не претендовал на полноту освещения вопроса.

Andrew комментирует...

И потом интересный момент, если в настоящий момент в поле зрения попадает материал от ноября прошлого года, то это означает, что более свежего никто не собрал? Так к чему критика? Поделитесь знанием, где есть более полная информация.

Алексей Лукацкий комментирует...

А в чем укоризна? Я просто проанализировал рекомендации, которые, на мой взгляд, должны были помочь ИТ-директорам решить многие вопросы оптимальным способом. Или хотя бы описать различные сценарии решения наболевших вопросов.

И я не обвинял никого в коммерческой подоплеке формирования списка интеграторов. Тем более, что наша компания в нем участвовала.

Что же касается сбора знаний, которые получилось собрать, то тут я вынужден не согласиться с вами. Знаний было гораздо больше. Та же Татьяна Плотникова в своей презентации на конференции использовала не только традиционную точку зрения ;-)

Ну а что касается срока опубликования заметки, то раньше до нее просто руки не доходили ;-) А нового пока нет, т.к. только в конце февраля ФСТЭК выпустила новый, более адекватный документ по защите ПДн. И вообще сейчас идет активное нормотворчество - ЦБ утверждает свои рекомендации, операторы связи (НИР Тритон) тоже. Страховщики что-то делают. Законодатели в апреле планируют вносить очередные изменения в 152-й закон. Поэтому информация меняется очень быстро и зафиксировать ее в новых статичных рекомендациях пока никто не берется.