Забавно, что региональный ФСТЭК похоже не слышал не только о решении об отмене двух документов четверокнижия, но и о 58-м приказе тоже ничего не знает. Вчера выступал на конференции в Ростове, на которой представители ФСТЭК долго и нужно пересказывали четверокнижие и то, как все должны аттестовать свои системы и получать лицензию ТЗКИ. Подозреваю, что и в других федеральных округах ситуация не лучше.
ЗЫ. Грустно то, что и многие интеграторы и вендоры ИБ, выступавшие там же, тоже ничего не знали про решение ФСТЭК об отмене части четверокнижия ;-(
Управления ФСТЭК России по Приволжскому Федеральному округу вкурсе. И довольно подробно рассказывал об изменениях на вчерашнем открытом семинаре в г.Чебоксары.
ОтветитьУдалитьУ нас в Нижнем Новгороде и того хуже. Представитель ФСТЭК долго доказывал, что 58 Приказ выпущен в дополнение к 4-м книжкам, и никакого решения об отмене нет.
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьПо УрФО тоже в курсах. На прошлой неделе довелось лично поговорить с представителем службы. Выяснил интересную позицию в отношении необходимости получать лицензию на ТЗКИ. Не надо, если создает СЗПДн лицензиат. А администрирование и поддержание работоспособности не требует лицензии. И еще для себя уяснил, что 58 приказ, по сути, мало что поменял: как должны были использовать серт. СЗИ (в т.ч. и крипто), так и остались.
ОтветитьУдалитьАндрей, пиши запрос в центральный аппарат. В Москве подход революционнее. Тут на вопрос, что такое оценка соответствия отвечают - смотрите ФЗ "О техрегулировании". А он в свою очередь определяет, что оценка может в трех формах - обязательная, добровальная сертификация и декларация соответствия. Т.к. Обязательная сертификация применяется только для гостайны, то остается либо добровольная через СРО, либо декларация.
ОтветитьУдалитьДо ЮФО действительно новости доходят долго. Они так долго и тщательно разрабатывали собственные методические рекомендации (http://dementeeva.blogspot.com/2010/03/blog-post.html), теперь им, конечно, гручтно признавать, что работа была напрасной.
ОтветитьУдалитьПосле того, как прочитал про Приказ №58 в этом блоге, сообщил об этом товарищу, работающему в городской администрации. На следующий день тот звонил в региональное отделение ФСТЭК в Новосибирск, там были не в курсе. С его слов, приказ там распечатали и рвздали всем сотрудникам для ознакомления...
ОтветитьУдалитьИнтересный ответ ФСТЭКа:
ОтветитьУдалить"http://ispdn.ru/forum/index.php?PAGE_NAME=message&FID=1&TID=546&PAGEN_2=5" пост62
Добрый день, коллеги. Разговаривал сегодня с начальниками отделов сертификации и ТЗИ ФСТЭК. Последний, кстати, как мне сказали, и разрабатывал последнее положения. Привожу краткую сводку того, что удалось выяснить:
1. Сертификация
После 15 марта все СЗИ, применяемые в ИСПДн должны быть сертифицированы, т.к. это единственный на настоящее время легитимный способ оценки соответствия. Однако в настоящее время разрабатывается новое положение в части дикларации соответствия. По словам ФСТЭК создана рабочая группа и его нужно ждать в течение настоящего года. Опять же по словам ФСТЭК будет новая система, аналогичная системе сертификации со всеми вытекающими последствиями.
2. Оценка соответствия ИСПДн
Требований по оценке соответствия ИСПДн больше нет, т.е. не аттестовывать, не декларировать ИСПДн не нужно. (за исключением гос. учреждений, что следует из СТР-К).
3. Лицензия на ТЗКИ (самое интересное)
Если организация сама организовывает защиту, то, по словам ФСТЭК, лицензию получать не нужно(!!!!). Если компания оказывает услуги по защите, то данной организации лицензия нужна. Я переспрашивал данный момент несколько раз. Смысл такой же как и для большинства лицензий: если для собственных нужд - не нужно, если оказываем услуги и получаем за это бабки - нужно.
Поразило дружественность и открытость ФСТЭК. Последними словами были: звоните, если возникнут ещё вопросы, обязательно проконсультируем и поможем разобраться.
PS: телефоны, по которым звонил (есть на официальном сайте):
(495) 696-94-20 (это дежурный) спросить отдел сертификации
(495) 696-18-94 отдел ТЗИ
Ну примерно так и есть, кроме того, что легитимной оценкой соответствия является не только обязательная сертификация, но и добровольная и декларация соответствия. Это все легитимно. Только сама ФСТЭК пока не умеет этого делать.
ОтветитьУдалитьАлексей, а как тогда быть с всевозможными ведомственными Рекомендациями, которые согласованы с представителями ФСТЭК, где описание СЗПДн и есть декларация соответствия? Т.е. такой подход возможен?
ОтветитьУдалитьЗ.Ы. Хе-хе, вот комерсанты не довольны-то, кусок пирога из лап вырвали)))
borio, спасибо за информацию!
ОтветитьУдалитьВидимо сейчас стоит избрать тактику ожидания, вдруг еще что-то отменят ;)
сертификация...
ОтветитьУдалитьа как быть с тем, что в "Едином перечне продукции, подлежащей обязательной сертификации" от 01 декабря 2009 нет СЗИ?
Вот именно. А также в двух постановления правительства
ОтветитьУдалитьДекларация вполне работоспособная схема, но мало кто по ней работал.
ОтветитьУдалитьИнтеграторы будут помогать декларировать если что. :-) Без работы не останутся. По поводу 58 приказа: разрабатывала его всем известная головная организация по защите информации, и, на мой взгляд, извинилась за первое "четырехкнижие" :-) Аттестацию жаль - система может работать, мысли вслух, не для обсуждения. ;-)
ОтветитьУдалитьСегодня ближний к нам новосибирский ФСТЭК определённо порадовал. Зная о том, что мы готовим семинар, сами с утра позвонили и сообщили о выходе решения и отмене Основных мероприятий и Рекомендаций.
ОтветитьУдалитьБыло приятно в ответ заявить, что мы уже сами всё узнали)) Г-ну Лукацкому ещё раз спасибо за новости)
2 Alexei Zaets
1. Я за себя таки сам здесь уже отвечал)
2. И я всё таки в областной администрации работаю, а не в городской;)
а СКЗИ?
ОтветитьУдалитьПравильно я понимаю, что для защиты персональных данных можно использовать НЕсертифицированные СКЗИ?
Нет, неправильно. Применение СКЗИ регулируется документами ФСТЭК, а они пока четко говорят об использовании сертифицированных или имеющих положительное заключение СКЗИ.
ОтветитьУдалитьВот выйдет скоро новый приказ ФСБ, тогда и посмотрим.
2Алексей Лукацкий:
ОтветитьУдалитьа как работать с декларацией, если нет регламентов?
Этот комментарий был удален автором.
ОтветитьУдалитьНу вопрос с декларациями проработан в смежных отраслях. Так что можно форму деклараций можно взять на многих сайтах и направить в ФСТЭК. В течение 30 дней они обязаны ответить.
ОтветитьУдалитьКурил закон о техническом регулировании.
ОтветитьУдалитьУвы, способ "добровольного" подтверждения соответствтия только один - сертификация.
Декларация применяется в качестве одного из способов обязательного подтверждения и только по "единому перечню", где СЗИ нет, конечно :-/
Вот так. Было бы соответствие принудительное - была бы лазейка, а добровольной декларации соответствия не существует :-(
Этот комментарий был удален автором.
ОтветитьУдалитьarkanoid,
ОтветитьУдалитьесли в нормативном акте написано "СЗИ пв установленном порядке проходят оценку соответствия", то эта оценка соответсятвия ни разу не добравольная. Это ОБЯЗАТЕЛЬНАЯ оценка соответствия, для которой пока нет нрмативной базы (того самого "установленного порядка").
Что касается добровольной сертификации, то от привычной нам сертификации там только само слово. Она может проводиться в люой форме и на любых условиях. Например, вы можете заказать у меня сертификацию вас как идеального человека, мы с вами определим в условиях договора, что "человек идеален тогда и только тогда, когда он - arkanoid", и я вам выдам сертификат на соответствие условиям договора (статья 21, абзац 1). :) Ничего не напоминает?
Не согласен ;-) У тебя написано "проходят в установленном порядке". Далее смотрим, что такое установленный порядок оценки соответствия. Его определяет ФЗ о техрегулировании. А там три варианта, из которых для нас подходит только два, т.к. оценка соответствия в виде обязательной сертификации применяется только для гостайны.
ОтветитьУдалитьДа, согласен. То есть прямо сейчас, строго говоря, можно зарегистрировать систему добровольной сертификации и это будет считаться "подтверждением соответствия" по букве закона. Но скорее всего, последующие документы эту лазейку закроют. Ставки принимать не буду, но, предполагаю вероятности примерно такими:
ОтветитьУдалить15% - решающее значение будут иметь странненькие сертификаты "для использования в ИСПДн", которые начали раздавать в прошлом году
60% - будет выпущен пересмотренный регламент на предмет того, какие сертификаты будут годиться
25% - более либеральные варианты, при которых можно будет так или иначе декларировать соответствие самому, сертифицировать в независимых и неэксклюзивных системах и даже создавать такие системы.
Коллеги, все замечательно!
ОтветитьУдалитьЗаконотворческий процесс идет полным ходом, только времени опять остается совсем ничего.
Вариантов вижу не так много:
Первый:
Выжидать. Риск - попасть в "передовую" юридическую практику лишения лицензии на основной вид деятельности после 1 января 2011 г.
Второй: вбухивать бабло сертифицированное железо и ПО,в лицензиата-консультанта на создание ИСПДн, с требованиями, которые могут снова отказаться не актуальными.
Как быть то?
Сам являюсь межрегиональным оператором ШПД, по признакам категорий ПДн и количеству легко попадаем в специальную систему, очень похожую на 1-й класс типовой.
Andy, первый класс это в любом случае вешалка, это я могу гарантировать независимо от направления регуляторских инициатив - какую ночную рубашку ни надевай, все равно результат брачной ночи очевиден. Так что обезличивание и ужатие рамок ИСПДн насколько возможно - единственный выход.
ОтветитьУдалить"информация - штука хитрая. Вечно до кого-то не доходит"
ОтветитьУдалитьвот в брошюре одного известного вендора, например, до сих пор колонтитулы 2007г., упоминаются те самые 4 документа ФСТЭК, и ничего - нормально себя чувствуют.
Если брошюра напечатана была еще тогда, то что в этом удивительного? А вот если недавно, то конфуз...
ОтветитьУдалитьна сайте сейчас лежит. судя по косвенным признакам недавно изменяли - месяц назад там ФСТЭКовские документы считали ДСПшными
ОтветитьУдалитьА на каком сайте-то?
ОтветитьУдалитьвот здесь: http://www.cisco.com/web/RU/broch.html
ОтветитьУдалитьссылка на http://www.cisco.com/web/RU/downloads/Cisco_for_personal_data.pdf
А-а-а, так этот документ создавался 2 года назад. Я его как раз сейчас обновляю в соответствие с 58-м приказом.
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьАлексей, ответьте пожалуйста!
ОтветитьУдалитьДокументы ФСБ, регламентирующие защиту персданных, зарегестрированы в Минюсте? Т.е. имеют ли эти два документа ("Типовые требования.." и "Методические рекомендации..") юридическую силу?
Как я понял, чтобы любой нормативный документ ФСТЭК или ФСБ имел юридическую силу (т.е. был легитимным), он (документ или приказ, утверждающий этот документ) должен быть зарегистрирован в Минюсте!
> Не согласен ;-) У тебя написано "проходят в установленном порядке"
ОтветитьУдалитьДействительно. Спишем на плохое самочувствие :)
Максим, они не изменяют правового статуса организаций, а посему вопрос их регистрации в МинЮсте остается открытым.
ОтветитьУдалитьОдин из них (рекомендации) является РЕКОМЕНДАЦИЯМИ, а посему не является обязательным. Статус второго (требования) под вопросом.
Два оставшихся от четверокнижия документа не являются нормативными правовыми актами и на них действительно не распространяется 1009 Постановление и, следовательно, они (именно эти конкретные доки) не должны регистрироваться в минюсте. Однако, обязательность их применения следует из 58 приказа, который ссылается на них как на рукдоки.
ОтветитьУдалитьА где на них 58-й ссылается?
ОтветитьУдалитьПрошу прощения, да, ссылается не явно:
ОтветитьУдалить"Модель угроз разрабатывается на основе методических документов, утвержденных в соответствии с пунктом 2 Постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781."
И добавлю, что ссылка не только неявная, но и не обязательная на 100% ;-) "На основе" охначает, что я могу только взять ключевую идею... И я ее беру. И много еще чего. Кроме финальной таблицы определения актуальных угроз. Ее я беру из ISO 13335 или СТО Банка России.
ОтветитьУдалитьВсех приветствую!
ОтветитьУдалитьПомогите уяснить, когда считается, что обработка персональных данных (ПД) осуществляется с использованием средств автоматизации, а когда без?
Мое понимание: имеется база данных (например, от 1С). Раз есть БД, вероятнее всего работа с данными этой базы ведется автоматизированным способом.
Что меня смущает? В п.1 главы 1 Постановления правительства РФ от 15.09.08 № 687, сказано: "1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
". Т.е. что получается, начальник кадровой службы отправляет в отпуск сотрудника, знакомит под роспись с приказом на отпуск, предварительно оформив его в программе - и сие действо следует рассматривать как обработку ПД без использования средств автоматизации потому, что оно осуществляется при непосредственном участии человека(кадровика)? Или я совсем неправильно трактовал этот пункт?
http://dom.bankir.ru/showthread.php?t=98748
ОтветитьУдалитьПодскажите пожалуйста.
ОтветитьУдалитьМы организация связи (провайдер и оператор телефонии - местной, мг, мн).
Нас проверяет РосТехНадзор и требует предоставить какой-то внутренний (!) документ об информационной безопасности сети (узлов) связи и защите информации (передаваемых по нашей сети данных).
Что за документ - они сами толком не могут объяснить.
Я нашёл только ГОСТ Р 52448-2005
Защита информации. Обеспечение безопасности сетей электросвязи.
Насколько он применим? Какой документ я должен сделать на его основе?
Согласно ФЗ-294 орган контроля/надзора должен проверять только в рамках своей компетенции и только те требования, которые опубликованы и доступны для проверяющих. В вашем случае Ростехнадзор малость превышает свои полномочия, особенно, если он не в состоянии объяснить, что он от вас хочет.
ОтветитьУдалитьА вообще оператор связи должен иметь нормативную базу по защите информации ;-) Как передаваемой по своим каналам связи, так и циркулирующей внутри оператора.
ЗЫ. Как вариант, Ростехнадзор может требовать документы по безопасности и устойчивости узлов связи, но это не имеет отношения к ИБ.
Благодарю за ответ, но никакой документации в моём распоряжении к сожалению нет.
ОтветитьУдалитьПока нашёл только Приказ Министерства информационных технологий и связи РФ от 9 января 2008 г. N 1 "Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации".
Да, 1-й приказ есть. В вашем случае я бы напирал на ФЗ-294 и полномочия Ростехнадзора в области безопасности. Думаю, что они отстанут, когда поймут, что вы знаете законодательство
ОтветитьУдалить