11.03.2010

ФСТЭК отменяет часть четверокнижия

В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
  • "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных", утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
  • "Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г. 

Взято с сайта ФСТЭК (спасибо malotavr за наводку).

18 коммент.:

Alexander комментирует...
Этот комментарий был удален автором.
tiger-66 комментирует...

;-)
Как теперь говорить правильно?
Трехкнижье? ;-)

Алексей Лукацкий комментирует...

Скорее легитимное однокнижье и нелигитимное двукнижье ;-)

Alexander комментирует...

Т.е. теперь на основании действующих документов можно четко сказать: данные о здоровье -> система специальная -> класс системы определяется на основании модели угроз?

suPilot комментирует...

Ну, сейчас наверно уже нет бредовых двух-, трех- или семи-книжий :)
Просто Приказ 58, а к нему методика по составлению модели угроз и "Приказ Трех" (все-таки не уйти от литературных аллюзий) по классификации ИСПДн.

A комментирует...

Сколько информации в рунете устарело... и энциклопедии http://wikisec.ru, и книги http://www.maprest.ru/pdata/. А сколько людей потратили деньги на всякие меропрития, средства, аттестации и прочее... А потом спрашиваем, почему наша страна "так" живёт.

На эту тему на а-датум хорошо отписались:
http://www.a-datum.ru/index.php?option=com_content&view=article&id=98:2010-02-26-09-09-34&catid=36:2010-02-11-13-56-45&Itemid=67

attendantofwood комментирует...

to A:

А вы сами-то читали эту книгу?

Советую почитать, она опубликована в блоге Юрия Владимировича Травкина, там вообще нечему устаревать - только анализ российского закона и европейского законодательства.
Основные понятия и откуда ноги растут хорошо разжевано.

RST комментирует...

Уважаемые коллеги, может быть я не первый, кто задается данным вопросом ... но может быть предложить нашим регуляторам или операторам взять типовую ИСПДн (например 1С, которую многие используют)и разобрать ее по косточкам, начиная от классификации, построением модели угроз и т.д., как пример подхода по приведению к соответствию требованиям регуляторов ....

Александр Шелипов комментирует...

Прелестно
У нас как раз намечается семинар для медицинских работников, ответственных за защиту ПД. И весь доклад планировалось строить как развёрнутый ответ на вопрос "Как выполнить основные мероприятия?"
ФСТЭК как всегда вовремя со своими документами.
Прелестно

A комментирует...

attendantofwood: Нет, не читал, спасибо за ссылку, почитаю.

RST: пусть они хотя бы определятся во мнениях, к какому постановлению относится 1С - к 781 или к 687.

Алексей Лукацкий комментирует...

Александру Шелипову: У медиков свои заморочки - приказы Минздрава-то по защите ПДн все еще действуют. Вот теперь вопрос - защищать по 58-му приказу или по документам Минздрава, построенным на старом четверокнижии.

Александр Шелипов комментирует...

Алексею Лукацкому
Мы основной упор делать будем на декабрьские методички минздравсоцразвития.
Беда в том что наш регоинальный минздрав их в глаза ещё не видел. А большая часть учреждений и не думала о выполнении этих требований. Будем опять с нуля разжёвывать.

Алексей Лукацкий комментирует...

Вот это и нехорошо ;-( Ибо эти методички гораздо жестче требуют защищать, чем 58-й приказ

Алексей Т. комментирует...

По Минздраву 5 копеек: судя по-всему, придется новую НИР заказывать. 58 постановление оставляет намного больше возможностей для выбора способов защиты. Разработки многих документов можно избежать (к примеру, "Требования к ИСПДн" не упоминаются совсем). Я подозреваю, что 58 приказ поможет в том числе банкам продавить выполнение требований по СТО БР соответствующим реализации требований по защите ПДн. Предлагаю всем не торопиться и подождать разъяснений регуляторов на какой-нибудь конференции (самое главное, чтобы они прятаться не начали ;-)).Уверен, что сертификация в любом случае будет навязываться как действенный способ, а аттестация способствует уменьшению количества проверок по технической защите.

Александр Шелипов комментирует...

Алексею Лукацкому
Руководитель, узнав сегодня о решении ФСТЭКа, дал указание сделать акцент на определение актуальных угроз и их минимизации организационными мерами, чтобы избежать лишних финансовых затрат на приобретение систем защиты, ибо у областных учреждений (и не только у них) денег катастрофически не хватает.
Опять же в контексте приказа 58.
Посмотрим, что из этого выйдет.

зы. Сегодня представитель ФСТЭКа сами позвонили и предупредили чтоб мы не горячились пугаь врачей отменёнными методичками. Приятно было ответить ФСТЭКу что мы и сами оперативно следим за ситуацией)))
Респект за регулярные новости в этой сфере и низкий поклон от всего отдела)

andminakov комментирует...
Этот комментарий был удален автором.
delabor комментирует...

Алексей, как вы думаете, что подразумевается под атрибутами безопасности в п.2.7 58 Приказа?

Алексей Лукацкий комментирует...

Я бы предположил, что речь идет об IPSec, но фиг его знает...