Pages - Menu

Страницы

1.10.09

Что думает ФСТЭК о своих документах по ПДн

Лежит у меня перед глазами официальное письмо ФСТЭК в одну отечественную организацию, в котором она (т.е. ФСТЭК) отвечает на ряд вопросов. Не буду пересказывать все 5 страниц этого манускрипта, коснусь только ключевых моментов:
  1. Четвере документа ФСТЭК "содержат информацию ограниченного доступа, не являются нормативными правовыми актами и не требуют особой процедуры их опубликования". Где там информация ограниченного доступа? И как быть с требованием наличия лицензии на ТЗКИ, которая меняет правовой статус оператора ПДн и, следовательно, требует выполнения ПП-1009 (которое в письме, кстати, тоже упоминается, но в контексте "Приказа трех").
  2. "В пакете документов ФСТЭК сохранена преемственность подходов ранее разработанных документов, а для ряда классов информационных систем они значительно упростились". Про преемственность - полная правда. Документы по гостайне или коммерческой тайне очень похожи на четверокнижие. А про упростились, видимо ФСТЭК имеет ввиду 4-й класс ИСПДн ;-)
  3. Методички ФСТЭК утверждены в феврале 2008 года, т.е. до вступления в силу Постановления Правительства РФ от 5 марта 2009 г. о коррупциогенности и "не требуют проведения эксперты в целях выявления в них положений, способствующих созданию условий для проявления коррупции". Согласен, если бы ФСТЭК не изменял свои документы уже несколько раз. Правда, каждый раз изменения касаются всего, кроме даты подписания ;-) Она по-прежнему - февраль 2008 года.
  4. "В настоящее время ФСТЭК России проводит работу по приведению в соответствие с ФЗ-294 документов ФСТЭК по вопросам проведения государственного контроля и надзора". Хотелось бы посмотреть ;-)
  5. Для аттестации ИСПДн 1, 2 и 3-го распределенного класса можно привлечь любого лицензиата ФСТЭК.

Вот такое письмо. Написано согласно законам бюрократии - текста много, пользы ноль. Зато формальности соблюдены ;-(

16 комментариев:

  1. Под информацией ограниченного доступа ФСТЭК имееет ввиду мероприятия по защите от ПЭМИН.

    ОтветитьУдалить
  2. По 4-му пункту на InfoSecurity ФСТЭК заявил, что в течение нескольких недель на сайте будут опубликованы открытые версии документов, точнее целых 2 ;-
    ). При чем это будут не отдельные методические документы, а выписки из ДСП-шных, в которых исключены мероприятия по ПЭМИН (оставлены ссылки на ДСП). Также заявили, что решают вопрос с регистрацией в Минюсте.

    PS: вообще "порадовала" позиция регуляторов, которую можно свести к следующему: разработали отличные документы, выполняйте, не нравится - жалуйтесь.

    ОтветитьУдалить
  3. Ну с МинЮстом они с весны решают ;-) Но они не пройдут проверку на коррупциогенность ;-(

    ОтветитьУдалить
  4. 2 Алексей
    Вот еще один вариант - депутатский запрос на эту самую проверку...

    ОтветитьУдалить
  5. Был вчера на конференции "Персональные данные", организованные Groteck. НА первый вопрос про наличие лицензии однозначный ответ был такой, что если оператор ПДн привлекает интегратора с лицензией, то самому оператору лицензия не нужна (конечно лишний повод для коррупции, но все же ;-)).
    НА остальные вопросы ответа наверное нет и не будет.
    По результатам мероприятия сделал вывод, что никто из "коммерческих интеграторов" до сих пор не смог разобраться с требованиями, не реализовал серьезных проектов по защите ПДн (Элвис, аттестовавший 68 объектов за 1,5 месяца не в счет).
    Кстати, запомнилось выступление Леты, которая рекламировала свои "реализованные проекты по защите ПДн". НА первом же вопросе они раскололись, что одну систему они обследовали, а вторую задекларировали соответствие.
    А вообще грустная картина - грамматические ошибки в слайдах и докладах, в каждом докладе интеграторы пытаются сформировать свой личный порядок защиты... Лично мне понравились учебные заведения - Академия АйТи и АИС.

    ОтветитьУдалить
  6. Тоже был вчера на семинаре по ПД,там присутствовал представитель РКН. Он заявил, что у них на сайте будут опубликованы 4 методички ФСТЭК, так как с них снят гриф ДСП. Однако я порыл сегодня их сайт, нашел только названия от методичек :)

    ОтветитьУдалить
  7. Алексей, а Вы как человек, имеющий отношение к крупнейшему иностранному вендору, который имеет серьезную партнерскую программу по продвижению себя на рынок:
    1. Сравнте эту программу и её прозрачные требования с требованиями (положением по лиценизврованию и тп) наших регуляторов, в т.ч. уровни, компетенции и т.п.
    2. Оцените, как наши регуляторы могут за оставшиеся три месяца охватить своей "партнерской" программной все 7млн потенциальных клиентов.
    3. Оценить можно еще и так: сколько готовится специалистов по аттестации и сколько их реально нужно, ну например в год.
    4. Вывесте эти сведения и докладывайте в ваших выступлениях.
    5. Можно собраться крупнейшими вендорами с открытым письмом Президенту, как это модно сейчас, и изложить эти наработки.
    Вот это было бы реально интересно и, наверное, сдвинуло бы в реальную плоскоть эту работу. Действительно, хочется работать качественно и эффективно.

    ОтветитьУдалить
  8. Алексей, точно такое же сравнение можно привести с процессом стандартизации в ISO посредством множества участников, голосование, открытое редактирование, проекты, коалиции. Всем понятно, что такое безопасность государства и рядом вопросов нужно заниматься в закрытом режиме, но ведь речь идет об информации простых людей, граждан, а также ведь и тех, кто из-за рубежа собирается к нам ее передавать, чтобы работать здесь, в том числе и Ваши коллеги. Уверен, конечно, что такие сравнения уже делались и неоднократно.

    ОтветитьУдалить
  9. На той же конференции я задал вопрос про коррупционность и вывешивание на сайте проекта в соответствии с ПП1009. Волчинская Елена Константиновна сказала так: ФСТЭК направил свои документы в МинЮст с целью получения заключения, что это не нормативные документы. Так что дума уже озаботилась. Все зависит от МинЮста. Ждем.
    А вообще с точки зрения защиты - все останется как есть + СОКА (подскажите где купить, кроме Аргуса).
    Вообще-то она же на свое мыло ждет конкретных предложений по внесению изменений в статьи ФЗ. Кто желает вложить свою лепту имеет смысл написать.
    ZZubra

    ОтветитьУдалить
  10. CI: Письмо Президенту уже есть. И не только ему. И не только письмо. И рассчеты ;-) Только не все публично делается ;-)

    ZZubra: С ЕК уже активно работает сразу несколько рабочих групп, в которых я участвую ;-)

    ОтветитьУдалить
  11. Уточняю по конференции "Персональные данные".

    1. ФСТЭК утверждает, что готовится опубликовать выписки из ДСПшных документов. Они должны появиться в ближайшее время.
    2. Он же говорит, что готовит новые версии этих документов. И этого следует ожидать к концу года.
    3. ФСБ говорит о том, что готовит новые версии своих доков. И тоже где-то к концу года (кажется).

    Насколько я привык, эти сроки следует считать, как всегда, очень оптимистичными, и мгновенно ожидать этих изменений не стоит. И что Вы там у них на сайте ищете? Авось к весне разродятся.

    В связи с этим некоторые "лаборатории" рекомендуют вообще не торопиться. Ато зажмем сами себе гайки, да еще лишние деньги вложим, а тут раз - и послабление!

    Думаю, кардинальных послаблений ожидать не приходится."Не дождетесь!", как говаривал небезизвестный...

    Скорее всего в настоящее время наиболее правильный сценарий: заявиться как оператор персданных (если не успел) и сделать вид, что что-то делаешь. Например, собрал нормативные акты, прикинул классификацию, встал в очередь на аттестацию... При прикидочных проверках пока этого хватает. Они видят, что оператор чешется и пока считают этого достаточным. Ежели, конечно, не заказная проверка. Но это уже выходит за рамки ИТ.

    Но делать-то когда-то все же придется. Так что дерганья на уровне слушаний в думе и писем президенту смысл имеют. А еще, похоже, будут приветствоваться инициативы отраслевые. Мне кажется, на конференции регуляторы об них благосклонно отзывались (кажется). Глядишь, там можно повлиять и сформулировать по уму.

    Во всем этом есть одна глупость: про реальную защиту персданных-то все забыли. Разговоры идут только о "подстилке", кто-то только банально пиарится. Блин!

    ОтветитьУдалить
  12. Уточняю по конференции "Персональные данные".

    1. ФСТЭК утверждает, что готовится опубликовать выписки из ДСПшных документов. Они должны появиться в ближайшее время.
    2. Он же говорит, что готовит новые версии этих документов. И этого следует ожидать к концу года.
    3. ФСБ говорит о том, что готовит новые версии своих доков. И тоже где-то к концу года (кажется).

    Насколько я привык, эти сроки следует считать, как всегда, очень оптимистичными, и мгновенно ожидать этих изменений не стоит. И что Вы там у них на сайте ищете? Авось к весне разродятся.

    В связи с этим некоторые "лаборатории" рекомендуют вообще не торопиться. Ато зажмем сами себе гайки, да еще лишние деньги вложим, а тут раз - и послабление!

    Думаю, кардинальных послаблений ожидать не приходится."Не дождетесь!", как говаривал небезизвестный...

    Скорее всего в настоящее время наиболее правильный сценарий: заявиться как оператор персданных (если не успел) и сделать вид, что что-то делаешь. Например, собрал нормативные акты, прикинул классификацию, встал в очередь на аттестацию... При прикидочных проверках пока этого хватает. Они видят, что оператор чешется и пока считают этого достаточным. Ежели, конечно, не заказная проверка. Но это уже выходит за рамки ИТ.

    Но делать-то когда-то все же придется. Так что дерганья на уровне слушаний в думе и писем президенту смысл имеют. А еще, похоже, будут приветствоваться инициативы отраслевые. Мне кажется, на конференции регуляторы об них благосклонно отзывались (кажется). Глядишь, там можно повлиять и сформулировать по уму.

    Во всем этом есть одна глупость: про реальную защиту персданных-то все забыли. Разговоры идут только о "подстилке", кто-то только банально пиарится. Блин!

    ОтветитьУдалить
  13. Уточняю по конференции "Персональные данные".

    1. ФСТЭК утверждает, что готовится опубликовать выписки из ДСПшных документов. Они должны появиться в ближайшее время.
    2. Он же говорит, что готовит новые версии этих документов. И этого следует ожидать к концу года.
    3. ФСБ говорит о том, что готовит новые версии своих доков. И тоже где-то к концу года (кажется).

    Насколько я привык, эти сроки следует считать, как всегда, очень оптимистичными, и мгновенно ожидать этих изменений не стоит. И что Вы там у них на сайте ищете? Авось к весне разродятся.

    В связи с этим некоторые "лаборатории" рекомендуют вообще не торопиться. Ато зажмем сами себе гайки, да еще лишние деньги вложим, а тут раз - и послабление!

    Думаю, кардинальных послаблений ожидать не приходится."Не дождетесь!", как говаривал небезизвестный...

    Скорее всего в настоящее время наиболее правильный сценарий: заявиться как оператор персданных (если не успел) и сделать вид, что что-то делаешь. Например, собрал нормативные акты, прикинул классификацию, встал в очередь на аттестацию... При прикидочных проверках пока этого хватает. Они видят, что оператор чешется и пока считают этого достаточным. Ежели, конечно, не заказная проверка. Но это уже выходит за рамки ИТ.

    Но делать-то когда-то все же придется. Так что дерганья на уровне слушаний в думе и писем президенту смысл имеют. А еще, похоже, будут приветствоваться инициативы отраслевые. Мне кажется, на конференции регуляторы об них благосклонно отзывались (кажется). Глядишь, там можно повлиять и сформулировать по уму.

    Во всем этом есть одна глупость: про реальную защиту персданных-то все забыли. Разговоры идут только о "подстилке", кто-то только банально пиарится. Блин!

    ОтветитьУдалить
  14. Я прокомментирую:
    1. Выписки уже есть. Завтра (07.10.09) в блоге один из таких примеров будет описан.
    2. Новые документы тоже есть. Но они не смогли их провести через МинЮст и сделали просто. Внесли изменения в первую версию, а дату оставили ту же.
    3. Про ФСБ я в блоге уже писал - сами документы уже готовы. К декабрю хотят пройти все согласования. Если успеют.
    4. "Дерганья" в Думе намечены на 20-е октября. Участвует много заинтересованных лиц. Может и пробьют лобби регуляторов в части вопросов.
    5. Отраслевые наработки тоже планируются. Как минимум, у банкиров и операторов связи. По другим пока сложно говорить.

    ОтветитьУдалить
  15. На самом деле, что думает (и думает ли вообще)ФСТЭК не так уж и важно. Важно что оно делает. А делает оно свое дело (если исходить из интересов дела и государства) очень и очень плохо. По крайней мере в области защиты ПДн. Это пресловутое четырехкнижие, что называется, "без слез читать нельзя". Это образчик словесного жонглирования и терминологического эквилибра сдобренного грамматическими ошибками. Про методологию этих "документов" даже и говорить совестно. И что говорить, если основным каналом утечки информации в ИСПДн объявляется акустический, в то время как человек в состав ИСПДн не входит по определению. Видимо, по мнению авторов этих "опусов", "компы" с "компами" говорят. Остальное - в том же духе.
    По всей видимости, именно поэтому они и стали ДСП. И подписал их не председатель, а его зам.
    По уму, всем, что касается защиты ПДн: законом, постановлениями Правительства, НМД ФСТЭК, - должна была бы заняться Генеральная прокуратура, а не специалисты в области защиты информации. Даже поверхностный сравнительный анализ европейского, американского и российского законодательств, приведенный в Вашей презентации, наилучшее тому подтверждение.
    Все это, перефразируя (уточняя, дополняя) одного известного ""героя" НАШЕГО времени", можно охарактеризовать так: "Хотели как лучше (для себя и своих лицензиатов), а получилось как всегда ("через пень-колоду").
    Не исключаю, что они "протащат" какой-нибудь вариант через МинЮст. Но качество его будет тем же. Нельзя прыгнуть выше своей головы. Писать-то их будет все тот же "стихоплет" квазинаучным языком, без соблюдения элементарных правил русского языка, с полным пренебрежением логикой и без должного понимания сути проблемы.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.