- Четвере документа ФСТЭК "содержат информацию ограниченного доступа, не являются нормативными правовыми актами и не требуют особой процедуры их опубликования". Где там информация ограниченного доступа? И как быть с требованием наличия лицензии на ТЗКИ, которая меняет правовой статус оператора ПДн и, следовательно, требует выполнения ПП-1009 (которое в письме, кстати, тоже упоминается, но в контексте "Приказа трех").
- "В пакете документов ФСТЭК сохранена преемственность подходов ранее разработанных документов, а для ряда классов информационных систем они значительно упростились". Про преемственность - полная правда. Документы по гостайне или коммерческой тайне очень похожи на четверокнижие. А про упростились, видимо ФСТЭК имеет ввиду 4-й класс ИСПДн ;-)
- Методички ФСТЭК утверждены в феврале 2008 года, т.е. до вступления в силу Постановления Правительства РФ от 5 марта 2009 г. о коррупциогенности и "не требуют проведения эксперты в целях выявления в них положений, способствующих созданию условий для проявления коррупции". Согласен, если бы ФСТЭК не изменял свои документы уже несколько раз. Правда, каждый раз изменения касаются всего, кроме даты подписания ;-) Она по-прежнему - февраль 2008 года.
- "В настоящее время ФСТЭК России проводит работу по приведению в соответствие с ФЗ-294 документов ФСТЭК по вопросам проведения государственного контроля и надзора". Хотелось бы посмотреть ;-)
- Для аттестации ИСПДн 1, 2 и 3-го распределенного класса можно привлечь любого лицензиата ФСТЭК.
Вот такое письмо. Написано согласно законам бюрократии - текста много, пользы ноль. Зато формальности соблюдены ;-(
Под информацией ограниченного доступа ФСТЭК имееет ввиду мероприятия по защите от ПЭМИН.
ОтветитьУдалитьПо 4-му пункту на InfoSecurity ФСТЭК заявил, что в течение нескольких недель на сайте будут опубликованы открытые версии документов, точнее целых 2 ;-
ОтветитьУдалить). При чем это будут не отдельные методические документы, а выписки из ДСП-шных, в которых исключены мероприятия по ПЭМИН (оставлены ссылки на ДСП). Также заявили, что решают вопрос с регистрацией в Минюсте.
PS: вообще "порадовала" позиция регуляторов, которую можно свести к следующему: разработали отличные документы, выполняйте, не нравится - жалуйтесь.
Ну с МинЮстом они с весны решают ;-) Но они не пройдут проверку на коррупциогенность ;-(
ОтветитьУдалить2 Алексей
ОтветитьУдалитьВот еще один вариант - депутатский запрос на эту самую проверку...
Мысль! Я подумаю над этим
ОтветитьУдалитьБыл вчера на конференции "Персональные данные", организованные Groteck. НА первый вопрос про наличие лицензии однозначный ответ был такой, что если оператор ПДн привлекает интегратора с лицензией, то самому оператору лицензия не нужна (конечно лишний повод для коррупции, но все же ;-)).
ОтветитьУдалитьНА остальные вопросы ответа наверное нет и не будет.
По результатам мероприятия сделал вывод, что никто из "коммерческих интеграторов" до сих пор не смог разобраться с требованиями, не реализовал серьезных проектов по защите ПДн (Элвис, аттестовавший 68 объектов за 1,5 месяца не в счет).
Кстати, запомнилось выступление Леты, которая рекламировала свои "реализованные проекты по защите ПДн". НА первом же вопросе они раскололись, что одну систему они обследовали, а вторую задекларировали соответствие.
А вообще грустная картина - грамматические ошибки в слайдах и докладах, в каждом докладе интеграторы пытаются сформировать свой личный порядок защиты... Лично мне понравились учебные заведения - Академия АйТи и АИС.
Тоже был вчера на семинаре по ПД,там присутствовал представитель РКН. Он заявил, что у них на сайте будут опубликованы 4 методички ФСТЭК, так как с них снят гриф ДСП. Однако я порыл сегодня их сайт, нашел только названия от методичек :)
ОтветитьУдалитьАлексей, а Вы как человек, имеющий отношение к крупнейшему иностранному вендору, который имеет серьезную партнерскую программу по продвижению себя на рынок:
ОтветитьУдалить1. Сравнте эту программу и её прозрачные требования с требованиями (положением по лиценизврованию и тп) наших регуляторов, в т.ч. уровни, компетенции и т.п.
2. Оцените, как наши регуляторы могут за оставшиеся три месяца охватить своей "партнерской" программной все 7млн потенциальных клиентов.
3. Оценить можно еще и так: сколько готовится специалистов по аттестации и сколько их реально нужно, ну например в год.
4. Вывесте эти сведения и докладывайте в ваших выступлениях.
5. Можно собраться крупнейшими вендорами с открытым письмом Президенту, как это модно сейчас, и изложить эти наработки.
Вот это было бы реально интересно и, наверное, сдвинуло бы в реальную плоскоть эту работу. Действительно, хочется работать качественно и эффективно.
Алексей, точно такое же сравнение можно привести с процессом стандартизации в ISO посредством множества участников, голосование, открытое редактирование, проекты, коалиции. Всем понятно, что такое безопасность государства и рядом вопросов нужно заниматься в закрытом режиме, но ведь речь идет об информации простых людей, граждан, а также ведь и тех, кто из-за рубежа собирается к нам ее передавать, чтобы работать здесь, в том числе и Ваши коллеги. Уверен, конечно, что такие сравнения уже делались и неоднократно.
ОтветитьУдалитьНа той же конференции я задал вопрос про коррупционность и вывешивание на сайте проекта в соответствии с ПП1009. Волчинская Елена Константиновна сказала так: ФСТЭК направил свои документы в МинЮст с целью получения заключения, что это не нормативные документы. Так что дума уже озаботилась. Все зависит от МинЮста. Ждем.
ОтветитьУдалитьА вообще с точки зрения защиты - все останется как есть + СОКА (подскажите где купить, кроме Аргуса).
Вообще-то она же на свое мыло ждет конкретных предложений по внесению изменений в статьи ФЗ. Кто желает вложить свою лепту имеет смысл написать.
ZZubra
CI: Письмо Президенту уже есть. И не только ему. И не только письмо. И рассчеты ;-) Только не все публично делается ;-)
ОтветитьУдалитьZZubra: С ЕК уже активно работает сразу несколько рабочих групп, в которых я участвую ;-)
Уточняю по конференции "Персональные данные".
ОтветитьУдалить1. ФСТЭК утверждает, что готовится опубликовать выписки из ДСПшных документов. Они должны появиться в ближайшее время.
2. Он же говорит, что готовит новые версии этих документов. И этого следует ожидать к концу года.
3. ФСБ говорит о том, что готовит новые версии своих доков. И тоже где-то к концу года (кажется).
Насколько я привык, эти сроки следует считать, как всегда, очень оптимистичными, и мгновенно ожидать этих изменений не стоит. И что Вы там у них на сайте ищете? Авось к весне разродятся.
В связи с этим некоторые "лаборатории" рекомендуют вообще не торопиться. Ато зажмем сами себе гайки, да еще лишние деньги вложим, а тут раз - и послабление!
Думаю, кардинальных послаблений ожидать не приходится."Не дождетесь!", как говаривал небезизвестный...
Скорее всего в настоящее время наиболее правильный сценарий: заявиться как оператор персданных (если не успел) и сделать вид, что что-то делаешь. Например, собрал нормативные акты, прикинул классификацию, встал в очередь на аттестацию... При прикидочных проверках пока этого хватает. Они видят, что оператор чешется и пока считают этого достаточным. Ежели, конечно, не заказная проверка. Но это уже выходит за рамки ИТ.
Но делать-то когда-то все же придется. Так что дерганья на уровне слушаний в думе и писем президенту смысл имеют. А еще, похоже, будут приветствоваться инициативы отраслевые. Мне кажется, на конференции регуляторы об них благосклонно отзывались (кажется). Глядишь, там можно повлиять и сформулировать по уму.
Во всем этом есть одна глупость: про реальную защиту персданных-то все забыли. Разговоры идут только о "подстилке", кто-то только банально пиарится. Блин!
Уточняю по конференции "Персональные данные".
ОтветитьУдалить1. ФСТЭК утверждает, что готовится опубликовать выписки из ДСПшных документов. Они должны появиться в ближайшее время.
2. Он же говорит, что готовит новые версии этих документов. И этого следует ожидать к концу года.
3. ФСБ говорит о том, что готовит новые версии своих доков. И тоже где-то к концу года (кажется).
Насколько я привык, эти сроки следует считать, как всегда, очень оптимистичными, и мгновенно ожидать этих изменений не стоит. И что Вы там у них на сайте ищете? Авось к весне разродятся.
В связи с этим некоторые "лаборатории" рекомендуют вообще не торопиться. Ато зажмем сами себе гайки, да еще лишние деньги вложим, а тут раз - и послабление!
Думаю, кардинальных послаблений ожидать не приходится."Не дождетесь!", как говаривал небезизвестный...
Скорее всего в настоящее время наиболее правильный сценарий: заявиться как оператор персданных (если не успел) и сделать вид, что что-то делаешь. Например, собрал нормативные акты, прикинул классификацию, встал в очередь на аттестацию... При прикидочных проверках пока этого хватает. Они видят, что оператор чешется и пока считают этого достаточным. Ежели, конечно, не заказная проверка. Но это уже выходит за рамки ИТ.
Но делать-то когда-то все же придется. Так что дерганья на уровне слушаний в думе и писем президенту смысл имеют. А еще, похоже, будут приветствоваться инициативы отраслевые. Мне кажется, на конференции регуляторы об них благосклонно отзывались (кажется). Глядишь, там можно повлиять и сформулировать по уму.
Во всем этом есть одна глупость: про реальную защиту персданных-то все забыли. Разговоры идут только о "подстилке", кто-то только банально пиарится. Блин!
Уточняю по конференции "Персональные данные".
ОтветитьУдалить1. ФСТЭК утверждает, что готовится опубликовать выписки из ДСПшных документов. Они должны появиться в ближайшее время.
2. Он же говорит, что готовит новые версии этих документов. И этого следует ожидать к концу года.
3. ФСБ говорит о том, что готовит новые версии своих доков. И тоже где-то к концу года (кажется).
Насколько я привык, эти сроки следует считать, как всегда, очень оптимистичными, и мгновенно ожидать этих изменений не стоит. И что Вы там у них на сайте ищете? Авось к весне разродятся.
В связи с этим некоторые "лаборатории" рекомендуют вообще не торопиться. Ато зажмем сами себе гайки, да еще лишние деньги вложим, а тут раз - и послабление!
Думаю, кардинальных послаблений ожидать не приходится."Не дождетесь!", как говаривал небезизвестный...
Скорее всего в настоящее время наиболее правильный сценарий: заявиться как оператор персданных (если не успел) и сделать вид, что что-то делаешь. Например, собрал нормативные акты, прикинул классификацию, встал в очередь на аттестацию... При прикидочных проверках пока этого хватает. Они видят, что оператор чешется и пока считают этого достаточным. Ежели, конечно, не заказная проверка. Но это уже выходит за рамки ИТ.
Но делать-то когда-то все же придется. Так что дерганья на уровне слушаний в думе и писем президенту смысл имеют. А еще, похоже, будут приветствоваться инициативы отраслевые. Мне кажется, на конференции регуляторы об них благосклонно отзывались (кажется). Глядишь, там можно повлиять и сформулировать по уму.
Во всем этом есть одна глупость: про реальную защиту персданных-то все забыли. Разговоры идут только о "подстилке", кто-то только банально пиарится. Блин!
Я прокомментирую:
ОтветитьУдалить1. Выписки уже есть. Завтра (07.10.09) в блоге один из таких примеров будет описан.
2. Новые документы тоже есть. Но они не смогли их провести через МинЮст и сделали просто. Внесли изменения в первую версию, а дату оставили ту же.
3. Про ФСБ я в блоге уже писал - сами документы уже готовы. К декабрю хотят пройти все согласования. Если успеют.
4. "Дерганья" в Думе намечены на 20-е октября. Участвует много заинтересованных лиц. Может и пробьют лобби регуляторов в части вопросов.
5. Отраслевые наработки тоже планируются. Как минимум, у банкиров и операторов связи. По другим пока сложно говорить.
На самом деле, что думает (и думает ли вообще)ФСТЭК не так уж и важно. Важно что оно делает. А делает оно свое дело (если исходить из интересов дела и государства) очень и очень плохо. По крайней мере в области защиты ПДн. Это пресловутое четырехкнижие, что называется, "без слез читать нельзя". Это образчик словесного жонглирования и терминологического эквилибра сдобренного грамматическими ошибками. Про методологию этих "документов" даже и говорить совестно. И что говорить, если основным каналом утечки информации в ИСПДн объявляется акустический, в то время как человек в состав ИСПДн не входит по определению. Видимо, по мнению авторов этих "опусов", "компы" с "компами" говорят. Остальное - в том же духе.
ОтветитьУдалитьПо всей видимости, именно поэтому они и стали ДСП. И подписал их не председатель, а его зам.
По уму, всем, что касается защиты ПДн: законом, постановлениями Правительства, НМД ФСТЭК, - должна была бы заняться Генеральная прокуратура, а не специалисты в области защиты информации. Даже поверхностный сравнительный анализ европейского, американского и российского законодательств, приведенный в Вашей презентации, наилучшее тому подтверждение.
Все это, перефразируя (уточняя, дополняя) одного известного ""героя" НАШЕГО времени", можно охарактеризовать так: "Хотели как лучше (для себя и своих лицензиатов), а получилось как всегда ("через пень-колоду").
Не исключаю, что они "протащат" какой-нибудь вариант через МинЮст. Но качество его будет тем же. Нельзя прыгнуть выше своей головы. Писать-то их будет все тот же "стихоплет" квазинаучным языком, без соблюдения элементарных правил русского языка, с полным пренебрежением логикой и без должного понимания сути проблемы.