06.11.2012

Левая рука Правительства не знает, что делает правая или что принесло нам Постановление №1119

1-го ноября Правительство утвердило долгожданное Постановление №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Про проект этого Постановления я уже писал в конце сентября и вот один месяц и мы имеем дело с утвержденным нормативным актом. Правда, вместо двух постановлений (по уровням защищенности и по требованиям безопасности) Правительство выпустило одно, объединенное.

Но посмотрим на него чуть более внимательно. Начнем с того, что ПП-781 официально утратило силу, а с ним подвисли в воздухе "приказ трех" по классификации, а также методички ФСБ по шифрованию и приказ ФСТЭК №58, которые базировались именно на ПП-781. Но в любом случае это ненадолго. Проекты приказов ФСТЭК и ФСБ на подходе, а новая классификация приведена уже в самом Постановлении (никаких специальных или типовых систем).

Кстати, выход нового Постановления влечет за собой и далеко идущие последствия. Во-первых, теперь ФСТЭК придется обновлять свои РД по IPS и антивирусам, которые были привязаны к 4-м классам ИСПДн. А во-вторых, становится очевидным, что принятый 4 года назад подход по указанию в сертификатах ФСТЭК класса ИСПДн, для которого возможно применение прошедшего оценку соответствия средства защиты, дал сбой. Теперь в сертификатах этого уже не укажешь. Да и что делать с уже выданными сертификатами теперь непонятно.

Вся защита зависит от актальных угроз, но выбор средств нейтрализации этих угроз должен базироваться на документах ФСТЭК и ФСБ, которые должны скоро выйти. По идее там должна быть четко указана зависимость выбираемых средств защиты от актуальности той или иной угрозы, но вот как это будет реализовано, пока понимаю с трудом. Предсказуемо поменялась ситуация с оценкой соответствия. Если в проекте она требовалась только начиная со 2-го уровня, то в итоговом варианте - уже с 4-го. К счастью форма оценки соответствия не определена, а с учетом грифа на ПП-330, можно выбирать, что угодно (про это я уже писал и напишу очень скоро еще раз).

С классификацией ИСПДн авторы опять перегнули и, к сожалению, к критике и ранеев высказанным предложениям не прислушались. Например, непонятно, на каком основании сведения о судимости были существенно занижены с точки зрения отнесения их к той или иной ИСПДн. В законе они почти приравнены к специальным категориям, а в Постановлении №1119 приравнены к обычным ПДн. С ИСПДн, обрабатывающей общедоступные ПДн, тоже косяк. Например, согласно ФЗ о государственной регистрации юрлиц, большая часть ПДн учредителей юрлица относится к общедоступной информации. Но это не позволяет считать тот же ЕГРЮЛ ИСПДн, обрабатывающей общедоступные ПДн.Ведь по Постановлению к таким ИСПДн относятся только те, которые созданы в соответствие с 8-й статьей ФЗ-152.

Определение актуальных угроз таит в себе мину замедленного действия. Меня в определении "под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе" напрягает фраза, выделенная жирным. Случайный доступ может быть ВСЕГДА, а значит получается, что у нас и все угрозы являются актуальными. Но это все равно не так страшно, т.к. нам помогают следующие абзацы Постановления В частности в нем говорится, что все угрозы делятся на 3 типа (в зависимости от наличия НДВ). А актуальность этих угроз определяет оператор. И я повторю то, что писал раньше, рассматривая проекты данных Постановлений. Угрозу НДВ в контексте защиты ПДн я считаю неактуальной, а посему у нас остаются только угрозы 3-го типа.

При этом, согласно Постановлению и части 4 статьи 19 ФЗ-152 "федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки". Пока таких документов нет (кроме РС 2.4 Банка России и документов Минздрава). Это влечет за собой как возможность самостоятельного определения актуальных угроз, так и возможности выбрать выжидательную позицию. Нет документов, нет возможности определиться с угрозами, а значит и меры по защите нельзя выбрать ;-)

Косяк с тем, что при наличии ПДн о 100000 субъектах провести классификацию невозможно, так и не устранили (а ведь авторам про это тоже писали). Проблема с аутстаффингом осталась, а вот про сотрудников ИП, о которой я писал, устранили. Тем более непонятно, почему не убрали остальные, очевидные недочеты?..

Что касается требований по безопасности в зависимости от уровня защищенности, то тут ничего нового (кроме уже упомянутого переноса оценки соответствия со 2-го уровня на 4-й). Еще перенесли требование по доступу к содержанию электронного журнала сообщений только уполномоченным сотрудником с 3-го на 2-й уровень. Правда, что за журнал имелся ввиду, фиг поймешь. Для 1-го уровня помимо создания подразделение по защите ПДн возможно возложение этих задач на одно из существующих подразделений (например, на ИТ) такого функционала.

В целом могу сказать, что финальный вариант не так чтобы сильно изменился. Что-то стало получше, что-то похуже, что-то осталось без изменений. Пессимизм коллег относительно документа по-прежнему не разделяю - считаю, что возможность самостоятельного определения актуальных угроз - это уже недурно. Важно, конечно, что будет написано в приказах ФСТЭК и ФСБ, но если и они будут зависеть от актуальности угроз, то хуже, чем есть сейчас точно не будет.

А причем тут правая и левая рука Правительства, вынесенные в заголовок? А тут все просто. Если посмотреть на 13-й пункт Постановления №1119, то мы увидим, что требование наличия контролируемой зоны (т.е. зоны, куда запрещен доступ посторонних) при обработке ПДн остался и остался на 4-м, минимальном уровне защищенности. А теперь давайте посмотрим на множество инициатив, которые так активно продвигает руководство нашего правительства... Многие из них связаны с доступом с мобильных устройств. Что-то да, возможно делать из помещений с контролируемым доступом, например, дистанционный доступ к библиотекам или музеям, но это в любом случае частный и не самый распространенный пример применения мобильных устройств. Все-таки они создавались, чтобы работать из любого места, где есть Интернет.

Оснащение сотрудников ГИБДД планшетниками для проверки в реальном времени информации о водителях, угнанных авто и т.д. Невозможно! Ну где вы на улице видели контролируемую зону? Использование врачами планшетных компьютеров при выезде к пациентам. Невозможно! Пограничные посты в аэропортах? Невозможно! Таможенные терминалы? Невозможно! И т.д. и т.п. Я уже не говорю про применение планшетников банковскими и страховыми агентами. Они тоже не могут работать с персданными за пределами собственной контролируемой зоны. Да что планшетники... Вынос точки продаж за пределы собственного или арендуемого здания в места массового скопления народа (например, торговые или дилерские центры) теперь становится невозможен. И все это подписал человек, так ратующий за активное внедрение мобильных технологий ;-(

ЗЫ. Услуги по облачной безопасности как всегда забыта, но это и понятно - не могут пока регуляторы воспринять  такой вариант реализации системы защиты, не укладывается он у них в голове. Ну со временем все утрясется, я думаю.

74 коммент.:

Александр Бондаренко комментирует...

Еще одно подтверждение того, что чхали товарищи регуляторы на мнения всяких там экспертов. А сбор предложений - фикция, чтобы галочку для начальства поставить, что мол "народ выслушали"

Алексей Лукацкий комментирует...

Да, можно этим оправдывать свое ничегонеделанье

andrewz66 комментирует...

Ну вот, можно считать закрытым давний спор с Алексеем по поводу его излишней оптимистичности в отношении новых нормативных документов. Картина ровно такова, как предсказывали "пессимисты". Апофеозом можно считать привнесение оценки соответствия любых СЗИ, используемых для защиты от актуальных угроз, для всех уровней защищенности. Последняя соломинка, которая осталась, это право некоторых организаций утверждать свои собственные отраслевые МУ.
Так что все исполнение закона как обычно превратилось в борьбу лобби.

p.s. ну и как обычно вызывает отвращение весь этот цирк с написанием новых старых законодательных актов.

Алексей Т. комментирует...

Вся статья пронизана духом "закон что дышло, куда поверни туда и вышло"... Ваши интерпретации Алексей никак не подтверждены регуляторами - и что касается "оценки соответствия" и отраслевых моделей и других вопросов. Радоваться документу с кучей двояких толкований и вообще не имеющему смысла без документов ФСТЭК и ФСБ преждевременно.

Алексей Т. комментирует...

А ничегонеделанье у экпертов ровно потому, что был опыт всегоделанья, который превратился в пшик...

Sergey Barmin комментирует...

Печально, что нормативка регуляторов опять повисла в воздухе из-за темы с классификацией.

ZZubra комментирует...

Постановление в таблицах http://sdrv.ms/WtynjO

ZZubra комментирует...

8 типов ИСПДн, 29 случаев классификации ИСПДн, 3 типа угроз, 4 уровня защищенности ИСПДн, от 4 до 7 требований по обеспечению защищенности.
И только 2 вопроса:
1. Когда будут документы ФСБ и ФСТЭК
2. Что понимается под НДВ??????

PS НДВ - возьму на себя смелость сказать, что сейчас нет НИ ОДНОЙ программки, у которой в документации были бы описаны ВСЕ ее возможности и функции, ВКЛЮЧАЯ сферу и среду их применения. Просто из-за сложности и разнообразия применений (сфер деятельности человека) и огромного количества ПО. Это НДВ? И откуда оно начинается, пока дойдет до закладок?

ZZubra комментирует...

Кстати сказать, не встречал в лицензионных соглашениях ответственности производителя за достоверность обработки и целостность данных. Это явно заявленное НДВ ))))

Алексей Лукацкий комментирует...

ZZubra: твой документ плохо структурирован - фиг разберешь, что ты имел ввиду ;-(

Алексй Т.: именно потому что мои интерпретации не подтверждены регуляторами, я могу интерпретировать так, как прочитал НПА. А учитывая отсутствие права проведения проверок негосударственных организаций, я могу не бояться за то, что мою интерпретацию кто-нибудь опротестует.

Что касается оценки соответствия, то Алексей Волков в суде уже доказал, что оценка может быть и не только в форме обязательной сертификации. Было бы желание.

Разумеется хочется, чтобы в НПА было написано все четко и без двойственностей и чтобы даже идиот мог понять, что имели ввиду. Но мы живем в России и надо проявлять творческий подход при прочтении НПА. Сами регуляторы про это тоже регулярно напоминают. Они и рассчитывают на тех, кто хочет во всем видеть только четкую картину, а потому будут выполнять все по худшему сценарию.

Шауро Евгений комментирует...

У меня тоже в таблице.
http://shaurojen.blogspot.ru/2012/11/1119.html

Алексей Т. комментирует...

Алексей, Вы нас упрекаете в том, что мы не пишем замечания, не работаем над документами регуляторов, и при этом говорите "мои интерпретации не подтверждены регуляторами", но вы и в тесном контакте с регуляторами и работаете активно над всем. ВАш опыт только подтверждает эффективность работы с регуляторами...

Алексей Лукацкий комментирует...

Я работаю не над всем ;-) Я же не бог ;-) Там где мне удается побыть экспертом, там мне что-то удается вставить правильное на мой взгляд. Там где не удается - там не удается. Ну а что касается интерпретации, то все, что не подкреплено ОФИЦИАЛЬНОЙ позицией - это все интерпретация. Если я вам скажу, что с моей интерпретацией вопросов оценки соответствия регуляторы согласны - вам от этого будет легче, если вы официального ответа регулятора не найдете?

ZZubra комментирует...

>>твой документ плохо структурирован - фиг разберешь, что ты имел ввиду ;-(

Вот из-за различных моделей мышления мы одно и то же видим по-разному ))))) Отсюда и проистекают проблемы НПА в России

Иван Кочетов комментирует...

Немного пофантазируем: Возможно для ГИБДД и врачей, контролируемой зоной будет граница области например), ну если глядеть шире то и Государственная граница РФ. А почему нет, этж Госслужащие???

Д.Никитин комментирует...

Алексей! Я слышал, что операторов, которые строили СЗПДн по старым НМД, трогать вроде бы не собираются. Какие прогнозы на сей счет?

Атаманов Г. А. комментирует...

Проблемы НПА в России "проистекают" из двух источников:
1. безграмотности разработчиков (в т.ч. и, в первую очередь, языковой);
2. коррумпированности системы (желания "слупить бабла на халяву").
ПП-1119 с точки зрения правил русского языка и логики - полный абсурд. Позавидовал англичанам. Говорят, у них при наличии 3-х грамматических или стилистических ошибок закон не подлежит исполнению. Нам бы такое! Правда, остались бы на некоторое время вообще без законов, но потом ... может быть ...

Евгений комментирует...

Не читал проект этого документа, сразу в утвержденном варианте. Первое впечатление - это бред :).

У меня один вопрос - есть хоть один человек, который считает, что все эти хитровые...ые конструкции имеют отношение к реальному обеспечению безопасности ПДн???

Евгений комментирует...

Все эти ранее притянутые за уши количественные показатели в 100 тыс., потерянный ранее НДВ,кусочки требований по уровням защиты, которые даже не являются обобщенными и не предполагают дальнейшего раскрытия в документах ФСБ И ФСТЭК...

Tomas комментирует...

Да все проще, Правительство дало нам новую отсрочку на то, что и так никто не исполнил. :) просто в завуалированной форме...
А доводы про оценку рисков, а не угроз - кто рисками управляет, кроме представителей банковской сферы?
Интеграторы то чем не довольны, совсем не понятно, им новое поле деятельности... Только написали документы и т.д и вот можно снова переписывать, а про то, что за клиентов переживаете, ну не надо...., не стоит :)
У кого опыт "всегоделанья" с подтверждением документом, по какой системе? Исключая снова банки.
Согласен с ZZubra про НДВ, надо с низа начинать. Что толку DLP внедрять, если пароль 123. Так и здесь, все наши отечественные сертифицированные продукты, продаваемые за странное количество денег должны иметь полное описание возможностей, а ничего нет.

Алексей Т. комментирует...

2 Tomas под "всегоделаньем" подразумевалось взаимодействие с регуляторами, а не процессы защиты ПДн (хотя конечно и там все рассуждающие засветились, кто-то лучше, кто-то хуже). Отсрочки никакой уже давно не дается, Вы о чем? А по поводу интеграторов - с такой законодательной чехардой последние клиенты разбегутся ;-)

Константин Ржавский комментирует...

Одно не понятно, ну почему каждый новый НПА обязательно вводит новые понятия (иначе уже моветон) так, как будто действующих и не существовало. И опять разночтения в прочтении, понимании, споры с регуляторами ..... "Если кто то зажигает звезды - ...."

Belya комментирует...
Этот комментарий был удален автором.
Sergey комментирует...

Алексей, а можно поподробней насчёт "Что касается оценки соответствия, то Алексей Волков в суде уже доказал, что оценка может быть и не только в форме обязательной сертификации. Было бы желание."

Svyazist комментирует...

Я не Алексей, но отвечу: см. запись вебинара "Практические советы операторам персональных данных" http://www.risspa.ru/volkov_personal_data_170812

Евгений Родыгин комментирует...

"Угрозу НДВ в контексте защиты ПДн я считаю неактуальной" - провокатор... :)

Евгений Родыгин комментирует...

А я считаю актуальной! Вот такой я мазахист! ;)

alexand33r комментирует...

"использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз"

Для нейтрализации актуальных угроз необходимо внедрить прошедшие оценку соответствия СЗИ.
А оценка соответствия уже имеющихся средств (состав которых учитывался при оценке вероятности реализации угроз)не требуется, так как они не используются для нейтрализации "актуальных" угроз, они делают неактуальными иные?

Или перемудрил?

Ronin комментирует...

пока что нет методики определения актуальности угроз, поэтому нет смысла гадать

Сергей Городилов комментирует...

Любой документ, рожденный в атмосфере недоверия, будет переделываться тыщу раз, разрастаться и дописываться, резултаты его применения не будут анализироваться, а пользователи его будут придумывать всё новые и новые интерпретации так, чтобы родителю его было еще над каким улучшением подумать и добавить еще какую инструкцию/багу/повод для интерпретации. А всё из-за чего: родитель документа - из одной культуры, а пользователь - из другой. А меж ними - недоверие.
А ведь всего-то что нужно - общая цель - договориться, установить общий понятный друг другу язык. И тогда понятие "контролируемая она" например воспримется как в том числе включающая "частное пространство" работника, внутри которого можно переносить документы, портфели, планшеты, флэшки, и которое охраняется государством! И куча других понятий будет проще, короче и наступит всеобщее взаимопонимание. Только над этим нужно работать всем, непокладая рук, тяжело работать с одной целью - установить общий язык. Ибо все на одной территории живём. И не нужны будут длинные посты, которые никому не нужны, а будет всеобщий взгляд в будущее и желание предлагать улучшения, а не критиковать сделанное...
С уважением.

az комментирует...

Можно ли считать патрульный автомобиль ГИБДД контролируемой зоной? Думаю, можно, туда нет бесконтрольного доступа кого попало.

Можно ли считать квартиру пациента, куда пришел доктор контролируемой зоной?

Продолжать можно бесконечно, необходимы жесткие требования по использованию абонентского устройства, и, конечно, использование соответствующих СКЗИ для подключения через Интернет.

Alexbek комментирует...

Пункт 13 ПП РФ 1119 в частности гласит: "Выполнение требования:организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения".
Коллеги, у меня есть ощущение что произошла подмена понятий.
Речь идет о помещениях, в которых обрабатываются ПДн, а не о том, что необходимо обрабатывать ПДн исключительно в помещениях.
Не так ли?

Александр Волков комментирует...

Опять же в документе речь идет о "сотрудниках оператора". Ну нет в ТК такого понятия! Там речь идет исключительно о РАБОТНИКЕ.

alexand33r комментирует...

Быть может, говоря "сотрудник", имели ввиду и лиц, работающих по ГПД..

Евгений комментирует...

>Речь идет о помещениях, в которых обрабатываются ПДн, а не о том, что необходимо обрабатывать ПДн исключительно в помещениях.

Речь о том, что для тех помещений, где не дай бог будут обрабатываться ПДн, должен быть обеспечен ограниченный режим доступа. Зашел врач в квартиру пациента, захотел воспользоваться планшетом для подключения к ИСПДн? Будь добр позови полиционера, чтобы он обеспечил режим охраны. Как-то так.

А еще конечно удивляет выделение ИСПДн, содержащее только ПДн "сотрудников" оператора. Много ли их таких? Можно конечно искусственно реализовать такую систему, но вот знают ли разработчики этого текста, что в кадрово-бухгалтерской системе (которая скорее всего и имелась в виду) должны быть данные о родственниках и иждивенцах работника? Значит уже не чисто сотрудники предприятия. СКУД? А посетители, которым оформляется временный пропуск? Из однозначно только про сотрудников могу назвать только телефонный справочник организации...

Alexbek комментирует...

>Зашел врач в квартиру пациента, захотел воспользоваться планшетом для подключения к ИСПДн? Будь добр позови полиционера, чтобы он обеспечил режим охраны. Как-то так.

Даже комментировать такую глупость не хочу.

Евгений комментирует...

>Даже комментировать такую глупость не хочу.

Ваше право. Но если в требовании русским по белому написано "режима... препятствующего возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в это помещение" то вы конечно можете начинать играть словами, придумывать разные синонимы и проч, что не меняет факта - оператор обрабатывает ПДн в каком-либо помещении - следовательно он обязан обеспечить ограничение доступа в это помещение.

Alisa комментирует...

Вот вам удобная структурированная табличка :)
https://docs.google.com/spreadsheet/ccc?key=0AkM72VSEs5t2dFNMWF82N1VBQ1BvUGIxVTZreElkaXc

az комментирует...

>Но если в требовании русским по белому написано "режима... препятствующего возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в это помещение"

Ваша квартира - проходной двор? Там неконтролируемо могут находиться лица, не имеющие доступа?

Так можно дойти до крайности - у двери кадровой службы самой зачуханной ОООшки тоже полиционер должен стоять?

Алексей Лукацкий комментирует...

А мы живем в стране крайностей. Вас не смущает, что ИП, использующий СКЗИ должен получить лицензию ФСБ и иметь в своем штате 2-х обученных человек? Индивидуальный предприниматель и два человека...

Алексей Лукацкий комментирует...

Alisa: http://sborisov.blogspot.com/2012/09/2.html

Alisa комментирует...

Очень похоже )))

Анастасия комментирует...

<<<Что касается оценки соответствия, то Алексей Волков в суде уже доказал, что оценка может быть и не только в форме обязательной сертификации. Было бы желание.

А как же ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК от 4 мая 2012 г. N 240/24/1701, в котором четко указано, что
"средства защиты информации, содержащей сведения, составляющие государственную тайну, а также средства защиты информации конфиденциального характера, используемые в целях защиты государственного информационного ресурса и (или) персональных данных, подлежат оценке соответствия в форме обязательной сертификации.
??

Алексей Лукацкий комментирует...

А кто сказал, что сертификация - это единственная форма оценки соответствия? Их 7!

Вадим комментирует...

Алексей, так Анастасия и говорит о том, что ФСТЭК России из этих семи для ПДн указывает именно на сертификацию.

Алексей Лукацкий комментирует...

ФСТЭК может говорить все, что угодно, но в законе говорится просто об оценке соответствия. А значит оператор волен выбирать любую из семи форм. Очевидно, что ФСТЭК выгодно, чтобы такой формой была сертификация. Но это их мнение, которое не подкреплено нормативными актами.

Вадим комментирует...

А здесь нет противоречий. Закон указывает не конкретно о семи возможных формах оценки соответствия, а об оценке соответствия как общем понятии, а ФСТЭК в пределах своих полномочий конкретизирует оценку соответствия до сертификации. И они при этом настолько уверены в своей правоте, что не "говорят что угодно", а выпустили информационное сообщение, чего всегда делали с неохотой.

Алексей Лукацкий комментирует...

По закону только Правительство может конкретизировать форму оценки

Вадим комментирует...

А Правительство делегирует это ФОИВ в пределах своих полномочий.

Алексей Лукацкий комментирует...

Не может Правительство это делегировать. Оно должно сказать, что оценка соответствия в форме обязательной сертификации в системе ФСТЭК. Тогда уже вступает ФСТЭК со своими требованиями

Вадим комментирует...

С чего бы это? "Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".

Вадим комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

Выбор да. Поэтому у ФСТЭК написано, что надо выбирать МСЭ, антивирус, IPS, сканер безопасности и СЗИ от НСД.

Но решать должны ли эти средства быть сертифицированными определяет Правительство, о чем и написано в ФЗ-184.

Евгений комментирует...


Удобная форма для определения уровня защищенности http://pdsec.ru/obzor1119/

Вадим комментирует...
Этот комментарий был удален автором.
Вадим комментирует...

У Вас устаревшие сведения - это было до ноября 2011 года. В ФЗ-184 сегодня написано следующее:

"Статья 5. Особенности технического регулирования в отношении ... продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа

1. В отношении ... продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа ... обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные ... федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, ... противодействия техническим разведкам и технической защиты информации
(в ред. Федерального закона от 30.11.2011 N 347-ФЗ)

4. Особенности оценки соответствия продукции (работ, услуг), указанной в пункте 1 настоящей статьи, а также соответственно процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации или уполномоченными им федеральными органами исполнительной власти.
(в ред. Федерального закона от 30.11.2011 N 347-ФЗ)

Алексей Лукацкий комментирует...

Вадим, указанные вами поправки были внесены законом о регулировании атомной энергетики. И поправка относится только к Росатому. Поэтому регулятопы на нее никогда не ссылаются ибо любой суд откажет всем регуляторам кроме Росатома.

Вадим комментирует...

Алексей, поясните пожалуйста. Я читаю закон и кроме "продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии", нашёл и продукцию, указанную постом выше.

Вадим комментирует...

И,кстати, в вышеупомянутом информационном письме ФСТЭК ссылается именно на пятую статью.

Алексей Лукацкий комментирует...

Письмо ФСТЭК ссылается на статью в целом, т.к. это единственная возможность хоть как-то обосновать оценку соответствия средств защиты информации. На конкретную часть этой статьи письмо не ссылается. А фрагмент, что особенности оценки устанавливаются не только Правительством, но и ФОИВ, установлена именно законом о регулировании атомной энергетики и имеет отношение только к предмету регулирования атомной энергетики.

Вадим комментирует...

"установлена именно законом о регулировании атомной энергетики и имеет отношение только к предмету регулирования атомной энергетики" - не соглашусь я со второй частью. Допустим, человек (судья) видит новую редакцию закона, без ссылок на предыдущие изменения. По тексту закона фрагмент, который Вы привели, относится ко всем работам, указанным в статье первой, в том числе и работам по защите ПДн. В противном случае должна была быть ссылка не целиком на статью, а только на работы Росатома.

Фин комментирует...

Алексей, коллеги, не могу понять фразу, помогите пож-та:

7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда

не могу понять КАК могут угрозы определяться с учетом вреда, не умещается в голове

Фин комментирует...
Этот комментарий был удален автором.
Фин комментирует...

По-моему у них явно путаница в терминах и определениях (списка которых, кстати, в постановлении нет). Если учитывать что ущерб подразумевается как составляющая угрозы, то получается что понятие угрозы явно подменено понятием риска (который ущерб*вероятность возникновения). С чем они в таком случае путают понятие "вероятность возникновения", в которое должно быть включено понятие угрозы, вообще непонятно.
Или это я ничего не понимаю и всё перепутал?

Алексей Лукацкий комментирует...

Фин, угроза - это функция от двух параметров - ущерб и вероятность его реализации. Оценили ущерб (вред) и вероятность и получили актуальные угрозы

Фин комментирует...

Алексей, спасибо большое!

Мне казалось что угроза она всегда есть, и не может быть функцией от ущерба. Например, обвал потолка - это угроза. Причем здесь ущерб, я не могу понять.
А функция от ущерба я так думал что не угроза, а риск.

Есть ли какие то нормативные документы в которых угроза описана именно как функция от ущерба?

Спасибо заранее!

Алексей Лукацкий комментирует...

http://lukatsky.blogspot.com/2010/02/1.html

Фин комментирует...

Алексей, спасибо большое!

Расписал подробнее.

Мне казалось что угроза она всегда есть, и не может быть функцией от ущерба. Например, угроза обвала потолка - это угроза. Она всегда есть, в любом помещении. Причем здесь ущерб, я не могу понять. Потолок может быть и в неиспользуемом здании, но угроза от этого никуда не девается.
А функция от ущерба я так думал что не угроза, а риск. Например, если потолок с вероятностью 0,000000001 обрушится у меня, то будет ущерб 1 000 000 рублей, итого риск, если количественно, 1 копейка. Если у соседа, то риск у меня 0. Угроза обвала потолка при этом никуда не девается, мы можем принять её или не принять в зависимости от оценки риска, но мы не можем говорить что её нет, в зависимости от ущерба!

Есть ли какие то нормативные документы в которых угроза описана именно как функция от ущерба?

Спасибо заранее!

Фин комментирует...

Всё, вопрос снят, "актуальная" угроза понимается именно как "принятая". Я почему-то при чтении слово "актуальная" пропустил, отсюда все вопросы были..

Фин комментирует...

Кстати, вот у вас же в презентации написано из 27002:
"Потенциальная причина инцидента, который может нанести ущерб"
То есть ущерб - это последствие угрозы, а не её составляющая, как Вы пишете в комментарии 5 декабря 2012 г., 20:00

Алексей Лукацкий комментирует...

Если вам не наносится ущерб, то угрозы у вас вообще нет

Фин комментирует...

Нет, если не наносится ущерб, то угроза неактуальна. Но она всё равно есть :)

Алексей Лукацкий комментирует...

У вас есть 100 рублей. Их могут украсть? Да. Это угроза? Если для вас это ущерб - то да, угроза. Если не ущерб, то нет, не угроза. Актуальность определяется не наличием/отсутствием ущерба, а комбинацией размера ущерба и вероятности.

Фин комментирует...

я понимаю так, что есть угроза что у меня могут украсть деньги. Она есть всегда. Или же что я их могу потерять. Она тоже есть всегда. В зависимости от этого я и определяю безопасную сумму, которую могу с собой таскать.

То есть количество денег (оно же сумма ущерба) - СЛЕДСТВИЕ угрозы, а не причина.