12.03.2010

Почему региональные ФСТЭК ничего не знают о 58-м Приказе

Забавно, что региональный ФСТЭК похоже не слышал не только о решении об отмене двух документов четверокнижия, но и о 58-м приказе тоже ничего не знает. Вчера выступал на конференции в Ростове, на которой представители ФСТЭК долго и нужно пересказывали четверокнижие и то, как все должны аттестовать свои системы и получать лицензию ТЗКИ. Подозреваю, что и в других федеральных округах ситуация не лучше.

ЗЫ. Грустно то, что и многие интеграторы и вендоры ИБ, выступавшие там же, тоже ничего не знали про решение ФСТЭК об отмене части четверокнижия ;-(

48 коммент.:

IgorYa комментирует...

Управления ФСТЭК России по Приволжскому Федеральному округу вкурсе. И довольно подробно рассказывал об изменениях на вчерашнем открытом семинаре в г.Чебоксары.

JChan комментирует...

У нас в Нижнем Новгороде и того хуже. Представитель ФСТЭК долго доказывал, что 58 Приказ выпущен в дополнение к 4-м книжкам, и никакого решения об отмене нет.

Бажин комментирует...
Этот комментарий был удален автором.
Бажин комментирует...

По УрФО тоже в курсах. На прошлой неделе довелось лично поговорить с представителем службы. Выяснил интересную позицию в отношении необходимости получать лицензию на ТЗКИ. Не надо, если создает СЗПДн лицензиат. А администрирование и поддержание работоспособности не требует лицензии. И еще для себя уяснил, что 58 приказ, по сути, мало что поменял: как должны были использовать серт. СЗИ (в т.ч. и крипто), так и остались.

Алексей Лукацкий комментирует...

Андрей, пиши запрос в центральный аппарат. В Москве подход революционнее. Тут на вопрос, что такое оценка соответствия отвечают - смотрите ФЗ "О техрегулировании". А он в свою очередь определяет, что оценка может в трех формах - обязательная, добровальная сертификация и декларация соответствия. Т.к. Обязательная сертификация применяется только для гостайны, то остается либо добровольная через СРО, либо декларация.

Анна комментирует...

До ЮФО действительно новости доходят долго. Они так долго и тщательно разрабатывали собственные методические рекомендации (http://dementeeva.blogspot.com/2010/03/blog-post.html), теперь им, конечно, гручтно признавать, что работа была напрасной.

Alexei Zaets комментирует...

После того, как прочитал про Приказ №58 в этом блоге, сообщил об этом товарищу, работающему в городской администрации. На следующий день тот звонил в региональное отделение ФСТЭК в Новосибирск, там были не в курсе. С его слов, приказ там распечатали и рвздали всем сотрудникам для ознакомления...

borio комментирует...

Интересный ответ ФСТЭКа:
"http://ispdn.ru/forum/index.php?PAGE_NAME=message&FID=1&TID=546&PAGEN_2=5" пост62

Добрый день, коллеги. Разговаривал сегодня с начальниками отделов сертификации и ТЗИ ФСТЭК. Последний, кстати, как мне сказали, и разрабатывал последнее положения. Привожу краткую сводку того, что удалось выяснить:

1. Сертификация

После 15 марта все СЗИ, применяемые в ИСПДн должны быть сертифицированы, т.к. это единственный на настоящее время легитимный способ оценки соответствия. Однако в настоящее время разрабатывается новое положение в части дикларации соответствия. По словам ФСТЭК создана рабочая группа и его нужно ждать в течение настоящего года. Опять же по словам ФСТЭК будет новая система, аналогичная системе сертификации со всеми вытекающими последствиями.

2. Оценка соответствия ИСПДн

Требований по оценке соответствия ИСПДн больше нет, т.е. не аттестовывать, не декларировать ИСПДн не нужно. (за исключением гос. учреждений, что следует из СТР-К).

3. Лицензия на ТЗКИ (самое интересное)

Если организация сама организовывает защиту, то, по словам ФСТЭК, лицензию получать не нужно(!!!!). Если компания оказывает услуги по защите, то данной организации лицензия нужна. Я переспрашивал данный момент несколько раз. Смысл такой же как и для большинства лицензий: если для собственных нужд - не нужно, если оказываем услуги и получаем за это бабки - нужно.

Поразило дружественность и открытость ФСТЭК. Последними словами были: звоните, если возникнут ещё вопросы, обязательно проконсультируем и поможем разобраться.

PS: телефоны, по которым звонил (есть на официальном сайте):

(495) 696-94-20 (это дежурный) спросить отдел сертификации
(495) 696-18-94 отдел ТЗИ

Алексей Лукацкий комментирует...

Ну примерно так и есть, кроме того, что легитимной оценкой соответствия является не только обязательная сертификация, но и добровольная и декларация соответствия. Это все легитимно. Только сама ФСТЭК пока не умеет этого делать.

Бажин комментирует...

Алексей, а как тогда быть с всевозможными ведомственными Рекомендациями, которые согласованы с представителями ФСТЭК, где описание СЗПДн и есть декларация соответствия? Т.е. такой подход возможен?

З.Ы. Хе-хе, вот комерсанты не довольны-то, кусок пирога из лап вырвали)))

Анна комментирует...

borio, спасибо за информацию!
Видимо сейчас стоит избрать тактику ожидания, вдруг еще что-то отменят ;)

kreol комментирует...

сертификация...
а как быть с тем, что в "Едином перечне продукции, подлежащей обязательной сертификации" от 01 декабря 2009 нет СЗИ?

Алексей Лукацкий комментирует...

Вот именно. А также в двух постановления правительства

Алексей Лукацкий комментирует...

Декларация вполне работоспособная схема, но мало кто по ней работал.

Алексей Т. комментирует...

Интеграторы будут помогать декларировать если что. :-) Без работы не останутся. По поводу 58 приказа: разрабатывала его всем известная головная организация по защите информации, и, на мой взгляд, извинилась за первое "четырехкнижие" :-) Аттестацию жаль - система может работать, мысли вслух, не для обсуждения. ;-)

Александр Шелипов комментирует...

Сегодня ближний к нам новосибирский ФСТЭК определённо порадовал. Зная о том, что мы готовим семинар, сами с утра позвонили и сообщили о выходе решения и отмене Основных мероприятий и Рекомендаций.
Было приятно в ответ заявить, что мы уже сами всё узнали)) Г-ну Лукацкому ещё раз спасибо за новости)


2 Alexei Zaets
1. Я за себя таки сам здесь уже отвечал)
2. И я всё таки в областной администрации работаю, а не в городской;)

Maksim Ku комментирует...

а СКЗИ?
Правильно я понимаю, что для защиты персональных данных можно использовать НЕсертифицированные СКЗИ?

Алексей Лукацкий комментирует...

Нет, неправильно. Применение СКЗИ регулируется документами ФСТЭК, а они пока четко говорят об использовании сертифицированных или имеющих положительное заключение СКЗИ.

Вот выйдет скоро новый приказ ФСБ, тогда и посмотрим.

kreol комментирует...

2Алексей Лукацкий:
а как работать с декларацией, если нет регламентов?

kreol комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

Ну вопрос с декларациями проработан в смежных отраслях. Так что можно форму деклараций можно взять на многих сайтах и направить в ФСТЭК. В течение 30 дней они обязаны ответить.

arkanoid комментирует...

Курил закон о техническом регулировании.

Увы, способ "добровольного" подтверждения соответствтия только один - сертификация.
Декларация применяется в качестве одного из способов обязательного подтверждения и только по "единому перечню", где СЗИ нет, конечно :-/

Вот так. Было бы соответствие принудительное - была бы лазейка, а добровольной декларации соответствия не существует :-(

malotavr комментирует...
Этот комментарий был удален автором.
malotavr комментирует...

arkanoid,

если в нормативном акте написано "СЗИ пв установленном порядке проходят оценку соответствия", то эта оценка соответсятвия ни разу не добравольная. Это ОБЯЗАТЕЛЬНАЯ оценка соответствия, для которой пока нет нрмативной базы (того самого "установленного порядка").

Что касается добровольной сертификации, то от привычной нам сертификации там только само слово. Она может проводиться в люой форме и на любых условиях. Например, вы можете заказать у меня сертификацию вас как идеального человека, мы с вами определим в условиях договора, что "человек идеален тогда и только тогда, когда он - arkanoid", и я вам выдам сертификат на соответствие условиям договора (статья 21, абзац 1). :) Ничего не напоминает?

Алексей Лукацкий комментирует...

Не согласен ;-) У тебя написано "проходят в установленном порядке". Далее смотрим, что такое установленный порядок оценки соответствия. Его определяет ФЗ о техрегулировании. А там три варианта, из которых для нас подходит только два, т.к. оценка соответствия в виде обязательной сертификации применяется только для гостайны.

arkanoid комментирует...

Да, согласен. То есть прямо сейчас, строго говоря, можно зарегистрировать систему добровольной сертификации и это будет считаться "подтверждением соответствия" по букве закона. Но скорее всего, последующие документы эту лазейку закроют. Ставки принимать не буду, но, предполагаю вероятности примерно такими:

15% - решающее значение будут иметь странненькие сертификаты "для использования в ИСПДн", которые начали раздавать в прошлом году
60% - будет выпущен пересмотренный регламент на предмет того, какие сертификаты будут годиться
25% - более либеральные варианты, при которых можно будет так или иначе декларировать соответствие самому, сертифицировать в независимых и неэксклюзивных системах и даже создавать такие системы.

Andy комментирует...

Коллеги, все замечательно!
Законотворческий процесс идет полным ходом, только времени опять остается совсем ничего.
Вариантов вижу не так много:
Первый:
Выжидать. Риск - попасть в "передовую" юридическую практику лишения лицензии на основной вид деятельности после 1 января 2011 г.
Второй: вбухивать бабло сертифицированное железо и ПО,в лицензиата-консультанта на создание ИСПДн, с требованиями, которые могут снова отказаться не актуальными.
Как быть то?
Сам являюсь межрегиональным оператором ШПД, по признакам категорий ПДн и количеству легко попадаем в специальную систему, очень похожую на 1-й класс типовой.

arkanoid комментирует...

Andy, первый класс это в любом случае вешалка, это я могу гарантировать независимо от направления регуляторских инициатив - какую ночную рубашку ни надевай, все равно результат брачной ночи очевиден. Так что обезличивание и ужатие рамок ИСПДн насколько возможно - единственный выход.

tsv комментирует...

"информация - штука хитрая. Вечно до кого-то не доходит"

вот в брошюре одного известного вендора, например, до сих пор колонтитулы 2007г., упоминаются те самые 4 документа ФСТЭК, и ничего - нормально себя чувствуют.

Алексей Лукацкий комментирует...

Если брошюра напечатана была еще тогда, то что в этом удивительного? А вот если недавно, то конфуз...

tsv комментирует...

на сайте сейчас лежит. судя по косвенным признакам недавно изменяли - месяц назад там ФСТЭКовские документы считали ДСПшными

Алексей Лукацкий комментирует...

А на каком сайте-то?

tsv комментирует...

вот здесь: http://www.cisco.com/web/RU/broch.html
ссылка на http://www.cisco.com/web/RU/downloads/Cisco_for_personal_data.pdf

Алексей Лукацкий комментирует...

А-а-а, так этот документ создавался 2 года назад. Я его как раз сейчас обновляю в соответствие с 58-м приказом.

Maksim Ku комментирует...
Этот комментарий был удален автором.
Maksim Ku комментирует...

Алексей, ответьте пожалуйста!
Документы ФСБ, регламентирующие защиту персданных, зарегестрированы в Минюсте? Т.е. имеют ли эти два документа ("Типовые требования.." и "Методические рекомендации..") юридическую силу?

Как я понял, чтобы любой нормативный документ ФСТЭК или ФСБ имел юридическую силу (т.е. был легитимным), он (документ или приказ, утверждающий этот документ) должен быть зарегистрирован в Минюсте!

malotavr комментирует...

> Не согласен ;-) У тебя написано "проходят в установленном порядке"

Действительно. Спишем на плохое самочувствие :)

Алексей Лукацкий комментирует...

Максим, они не изменяют правового статуса организаций, а посему вопрос их регистрации в МинЮсте остается открытым.

Один из них (рекомендации) является РЕКОМЕНДАЦИЯМИ, а посему не является обязательным. Статус второго (требования) под вопросом.

attendantofwood комментирует...

Два оставшихся от четверокнижия документа не являются нормативными правовыми актами и на них действительно не распространяется 1009 Постановление и, следовательно, они (именно эти конкретные доки) не должны регистрироваться в минюсте. Однако, обязательность их применения следует из 58 приказа, который ссылается на них как на рукдоки.

Алексей Лукацкий комментирует...

А где на них 58-й ссылается?

attendantofwood комментирует...

Прошу прощения, да, ссылается не явно:
"Модель угроз разрабатывается на основе методических документов, утвержденных в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781."

Алексей Лукацкий комментирует...

И добавлю, что ссылка не только неявная, но и не обязательная на 100% ;-) "На основе" охначает, что я могу только взять ключевую идею... И я ее беру. И много еще чего. Кроме финальной таблицы определения актуальных угроз. Ее я беру из ISO 13335 или СТО Банка России.

Олег комментирует...

Всех приветствую!
Помогите уяснить, когда считается, что обработка персональных данных (ПД) осуществляется с использованием средств автоматизации, а когда без?
Мое понимание: имеется база данных (например, от 1С). Раз есть БД, вероятнее всего работа с данными этой базы ведется автоматизированным способом.
Что меня смущает? В п.1 главы 1 Постановления правительства РФ от 15.09.08 № 687, сказано: "1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
". Т.е. что получается, начальник кадровой службы отправляет в отпуск сотрудника, знакомит под роспись с приказом на отпуск, предварительно оформив его в программе - и сие действо следует рассматривать как обработку ПД без использования средств автоматизации потому, что оно осуществляется при непосредственном участии человека(кадровика)? Или я совсем неправильно трактовал этот пункт?

Алексей Лукацкий комментирует...

http://dom.bankir.ru/showthread.php?t=98748

Ilya Sergeevich комментирует...

Подскажите пожалуйста.
Мы организация связи (провайдер и оператор телефонии - местной, мг, мн).
Нас проверяет РосТехНадзор и требует предоставить какой-то внутренний (!) документ об информационной безопасности сети (узлов) связи и защите информации (передаваемых по нашей сети данных).
Что за документ - они сами толком не могут объяснить.
Я нашёл только ГОСТ Р 52448-2005
Защита информации. Обеспечение безопасности сетей электросвязи.
Насколько он применим? Какой документ я должен сделать на его основе?

Алексей Лукацкий комментирует...

Согласно ФЗ-294 орган контроля/надзора должен проверять только в рамках своей компетенции и только те требования, которые опубликованы и доступны для проверяющих. В вашем случае Ростехнадзор малость превышает свои полномочия, особенно, если он не в состоянии объяснить, что он от вас хочет.

А вообще оператор связи должен иметь нормативную базу по защите информации ;-) Как передаваемой по своим каналам связи, так и циркулирующей внутри оператора.

ЗЫ. Как вариант, Ростехнадзор может требовать документы по безопасности и устойчивости узлов связи, но это не имеет отношения к ИБ.

Ilya Sergeevich комментирует...

Благодарю за ответ, но никакой документации в моём распоряжении к сожалению нет.
Пока нашёл только Приказ Министерства информационных технологий и связи РФ от 9 января 2008 г. N 1 "Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации".

Алексей Лукацкий комментирует...

Да, 1-й приказ есть. В вашем случае я бы напирал на ФЗ-294 и полномочия Ростехнадзора в области безопасности. Думаю, что они отстанут, когда поймут, что вы знаете законодательство