В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
- "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных", утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
- "Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Взято с
сайта ФСТЭК (спасибо
malotavr за наводку).
Этот комментарий был удален автором.
ОтветитьУдалить;-)
ОтветитьУдалитьКак теперь говорить правильно?
Трехкнижье? ;-)
Скорее легитимное однокнижье и нелигитимное двукнижье ;-)
ОтветитьУдалитьТ.е. теперь на основании действующих документов можно четко сказать: данные о здоровье -> система специальная -> класс системы определяется на основании модели угроз?
ОтветитьУдалитьНу, сейчас наверно уже нет бредовых двух-, трех- или семи-книжий :)
ОтветитьУдалитьПросто Приказ 58, а к нему методика по составлению модели угроз и "Приказ Трех" (все-таки не уйти от литературных аллюзий) по классификации ИСПДн.
Сколько информации в рунете устарело... и энциклопедии http://wikisec.ru, и книги http://www.maprest.ru/pdata/. А сколько людей потратили деньги на всякие меропрития, средства, аттестации и прочее... А потом спрашиваем, почему наша страна "так" живёт.
ОтветитьУдалитьНа эту тему на а-датум хорошо отписались:
http://www.a-datum.ru/index.php?option=com_content&view=article&id=98:2010-02-26-09-09-34&catid=36:2010-02-11-13-56-45&Itemid=67
to A:
ОтветитьУдалитьА вы сами-то читали эту книгу?
Советую почитать, она опубликована в блоге Юрия Владимировича Травкина, там вообще нечему устаревать - только анализ российского закона и европейского законодательства.
Основные понятия и откуда ноги растут хорошо разжевано.
Уважаемые коллеги, может быть я не первый, кто задается данным вопросом ... но может быть предложить нашим регуляторам или операторам взять типовую ИСПДн (например 1С, которую многие используют)и разобрать ее по косточкам, начиная от классификации, построением модели угроз и т.д., как пример подхода по приведению к соответствию требованиям регуляторов ....
ОтветитьУдалитьПрелестно
ОтветитьУдалитьУ нас как раз намечается семинар для медицинских работников, ответственных за защиту ПД. И весь доклад планировалось строить как развёрнутый ответ на вопрос "Как выполнить основные мероприятия?"
ФСТЭК как всегда вовремя со своими документами.
Прелестно
attendantofwood: Нет, не читал, спасибо за ссылку, почитаю.
ОтветитьУдалитьRST: пусть они хотя бы определятся во мнениях, к какому постановлению относится 1С - к 781 или к 687.
Александру Шелипову: У медиков свои заморочки - приказы Минздрава-то по защите ПДн все еще действуют. Вот теперь вопрос - защищать по 58-му приказу или по документам Минздрава, построенным на старом четверокнижии.
ОтветитьУдалитьАлексею Лукацкому
ОтветитьУдалитьМы основной упор делать будем на декабрьские методички минздравсоцразвития.
Беда в том что наш регоинальный минздрав их в глаза ещё не видел. А большая часть учреждений и не думала о выполнении этих требований. Будем опять с нуля разжёвывать.
Вот это и нехорошо ;-( Ибо эти методички гораздо жестче требуют защищать, чем 58-й приказ
ОтветитьУдалитьПо Минздраву 5 копеек: судя по-всему, придется новую НИР заказывать. 58 постановление оставляет намного больше возможностей для выбора способов защиты. Разработки многих документов можно избежать (к примеру, "Требования к ИСПДн" не упоминаются совсем). Я подозреваю, что 58 приказ поможет в том числе банкам продавить выполнение требований по СТО БР соответствующим реализации требований по защите ПДн. Предлагаю всем не торопиться и подождать разъяснений регуляторов на какой-нибудь конференции (самое главное, чтобы они прятаться не начали ;-)).Уверен, что сертификация в любом случае будет навязываться как действенный способ, а аттестация способствует уменьшению количества проверок по технической защите.
ОтветитьУдалитьАлексею Лукацкому
ОтветитьУдалитьРуководитель, узнав сегодня о решении ФСТЭКа, дал указание сделать акцент на определение актуальных угроз и их минимизации организационными мерами, чтобы избежать лишних финансовых затрат на приобретение систем защиты, ибо у областных учреждений (и не только у них) денег катастрофически не хватает.
Опять же в контексте приказа 58.
Посмотрим, что из этого выйдет.
зы. Сегодня представитель ФСТЭКа сами позвонили и предупредили чтоб мы не горячились пугаь врачей отменёнными методичками. Приятно было ответить ФСТЭКу что мы и сами оперативно следим за ситуацией)))
Респект за регулярные новости в этой сфере и низкий поклон от всего отдела)
Этот комментарий был удален автором.
ОтветитьУдалитьАлексей, как вы думаете, что подразумевается под атрибутами безопасности в п.2.7 58 Приказа?
ОтветитьУдалитьЯ бы предположил, что речь идет об IPSec, но фиг его знает...
ОтветитьУдалить