Документы ФСТЭК по ПДн - новый статус ~ Бизнес без опасности

19.11.09

Документы ФСТЭК по ПДн - новый статус

19.11.09 персональные данные, ФСТЭК 15 comments

Наверное для многих это уже не новость, но все-таки: 12-го (или 11-го) ноября ФСТЭК сняла гриф ДСП с двух своих документов по персданным. Сами документы тоже обновились, но очень незначительно. Скачать их можно с сайта ФСТЭК:

15 коммент.:

Анонимный комментирует...: А что изменилось, скажите пожалуйста?; 19 ноября 2009 г. в 10:15
Алексей Кузнецов комментирует...: 1) в "Рекомендациях" изменилась часть касающаяся процесса классификации по вопросу типовые/специальные
2) в "Требованиях" изменились требования к криптографической подсистеме ИСПДн первого класса

Есть предположения, что должны были исправиться многочисленные ошибки, но нет времени проверить.

Это всё в сравнении с первичной печатной редакцией документов.
Кстати, в нашем ФСТЭК при разговоре об изменениях говорят, что изменилась только часть про типовые/специальные системы. В остальные изменения приходится им же показывать пальцем.; 19 ноября 2009 г. в 11:21
Unknown комментирует...: Забавно, что там стоит копирайт ФСТЭКа. Документы, созданные государством, могут распространяться свободно (если они не классифицированы).; 19 ноября 2009 г. в 11:33
Анонимный комментирует...: to Алексей Кузнецов =>

Алексей, если Вас не затруднит, укажите, пожалуйста, поконкретнее на изменения !; 19 ноября 2009 г. в 12:42
Анонимный комментирует...: Beeven

После вступления в силу 4 части ГК у нас из законодательства исчезли значки копирайта.

ZZubra; 19 ноября 2009 г. в 12:53
Александр Шелипов комментирует...: 2 Beeven
Ну распространяться-то они могут свободно, но указывать государство как автора необходимо обязательно)); 19 ноября 2009 г. в 12:56
Алексей Кузнецов комментирует...: Значит так, буду без цитат - по памяти.
В части специальных и типовых:
в первоначальном варианте рекомендации копируют приказ ФСТЭК, ФСБ, Минсвязи.

По новой редакции типовая система и специальная система не являются взаимоисключающими характеристиками. Более подробно можете посмотреть в документе. ФСТЭК, ясен перец, рекомендует пользоваться новой версией. Аргументируя тем, что над приказом уже разбираются в Москве и собираются его приводить в такой же вид.

В части криптографической подсистемы прошу пардону. Поторопился радоваться.
По старой редакции (и по выложенному файлу без грифа ДСП) получается что необходимо шифровать данные в каналах связи, на серверах.
В выписке же присутствовала только строчка о необходимости применения сертифицированных СКЗИ.

Причем опять же, в самом ФСТЭК при малейшем упоминании слова "криптография" отправляют в ФСБ, а при подробном разъяснении о том, что про СКЗИ указано в их же документах говорят что-то вроде "мы предъявляем требования только к тому что криптографические средства должны быть сертифицированными".

В общем хрен редьки не слаще.
Была б возможность обоснованно назвать хоть одну угрозу для ИСПДн первого класса неактуальной, вопросов было бы гораздо меньше.; 19 ноября 2009 г. в 13:38
Алексей Лукацкий комментирует...: А что мешает назвать угрозы неактуальными? Например, внутри локальной сети перехват трафика считать неактуальным, тем самым защищая себя от использования СКЗИ внутри сети. Что, собственно, и рекомендует делать ФСБ.; 20 ноября 2009 г. в 03:59
Алексей Кузнецов комментирует...: Алексей, собственно сама методика и мешает.
Сейчас объясню:

из "порядка о проведении классификации":
класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

Из методики определения актуальности:
высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

И не трудно увидеть, что угроза имеющая высокую опасность, независимо от возможности реализации, является актуальной.

Таким образом получаем минимум - любая угроза влияющая на конфиденциальность (либо другие определённые характеристики) актуальна.; 20 ноября 2009 г. в 06:50
Алексей Лукацкий комментирует...: Ну не совсем так, все-таки. Актуальность - это комбинация вероятности и ущерба. Если у вас ущерб не высокий, а средний, то и угроза уже не актуальная становится при низкой вероятности.

И опять же. Я не обязан использовать только методику ФСТЭК (тем более, что их у нее две как минимум). Я могу взять методику ЦБ. А по ней даже при высоком ущербе, но минимальной вероятности, угроза неактуальная.; 20 ноября 2009 г. в 08:42
Анонимный комментирует...: to Алексей Кузнецов

А зачем обязательно использовать эту ущербную методику? У нас других нет под рукой? или просто лениво поискать/почитать?; 20 ноября 2009 г. в 08:43
Алексей Кузнецов комментирует...: А вот тут интересно :)

Отправил недавно запрос в любимый ФСТЭК о разъяснении, что-то вроде "Какой методикой определения актуальности руководствоваться, и чем ограничен мой выбор?"

Думаю в течении недели будет ответ, оттуда уже плясать.
В любом случае это лазейка для проверяющих, если захотят прикопаться к неактуальным угрозам.; 20 ноября 2009 г. в 09:22
Алексей Лукацкий комментирует...: Огласите потом результаты ;-); 20 ноября 2009 г. в 21:08
Unknown комментирует...: А вот вопрос, напрямую не связанный с обсуждаемой темой:
Удалось ли кому до конца определиться с различиями между лицензируемыми ФСТЭК видами деятельности? Проектирование АС в защищенном исполнении и далее поставка (покупных), монтаж, пусконаладка, сервисное обслуживание,
СЗИ, это какие из трех последних (http://www.fstec.ru/_razd/_lico.htm) видов деятельности?
Более подробный по составу за номером IV и номер VI, краткий, но явно упоминающий КИ. Номер V - вообще обо всем; 25 ноября 2009 г. в 14:40
Алексей Кузнецов комментирует...: Ну что ж, ответ есть.
Ссылка на п. 2.9 "Основных мероприятий..." и однозначное толкование о необходимости использования "Методики определения актуальных угроз..."; 21 декабря 2009 г. в 07:31