11.11.10

Что нас ждет в ближайшее время с точки зрения регулирования темы ПДн?

На основании презентации по будущему регулированию в области ИБ сваял презу, ориентированную только на тему персданных. Я ее читал в Челябинске и решил выложить еще и тут. Собственно там ничего нового почти нет - кроме чуть более детальной информации по законопроекту Резника и изменениям в ФЗ "О техническом регулировании".

19 коммент.:

zabrodin комментирует...

В Вашей презентации есть пункт, гласящий, что сертификация СЗИ (за искл. СКЗИ) не является обязательной. Однако в РС 2.3 п.6.3.2 читаем: "Выполнение функций обеспечения безопасности ПДн в ИСПДн должно обеспечиваться СЗИ, прошедшими в установленном порядке процедуру оценки соответствия.."

Maksim комментирует...

Алексей, какие требования необходимо выполнить, для легитимного использования VPN с встроенной криптографией?

Анонимный комментирует...

>НИР ТРИТОН
>18 иерархически выстроенных документа

И где это можно увидеть? Или хотя бы 3 профиля защиты и 3 модели угроз??
Все что есть на сайте минкомсвязи – это две модели угроз и концепция.
Вопрос риторический - очевидно, что в общем случае ответ нигде..

Алексей Лукацкий комментирует...

zabrodin'у А в СТО написано, что СЗИ АБС могут быть несертифицированными.

Maksim'у: Не совсем понял вопроса.

tiger'у: Ну ИКС обещал выложить их в свободный доступ, но что-то так и не выложил.

Maksim комментирует...

12 слайд Вашей презентации, сказано что встраивание криптографии в VPN не дает легетимного решения. А мой вопрос заключается в следуещем, какие действия необходимо выполнить чтобы при встраивании СКЗИ в VPN было легетимным.

pushkinist комментирует...

а почему распространение скзи клиентам и генерация ключей не лицензируемы оказались?

Алексей Лукацкий комментирует...

Maksim'у: Нужно сертифицировать ВСЕ VPN-решение целиком. Использования сертифицированного криптоядра недостаточно.

pushkinist'у: Так написано во второй версии ПРОЕКТА нового приказа ФСБ.

Алексей Лукацкий комментирует...

Maksim'у: Но опять же официальную позицию вы можете получить только сделав запрос в ФСБ. И получите вы такой же ответ, как есть у меня.

Сергей комментирует...

К вопросу zabrodin, Алексей, но в в СТО п.7.4.2. действительно говорит о возможности не использовать сертифицированные СЗИ, но заглавие пункта 7.4. Обеспечение ИБ при управлении доступом и регистрации. Означает ли это то, что требование распространяется и на системы антивирусной защиты и МЭ?

Алексей Лукацкий комментирует...

А в отношении антивирусов и МСЭ вообще ничего не сказано про сертификацию

pushkinist комментирует...

а где-нибудь можно глянуть сей проект? :)

Алексей Лукацкий комментирует...

Нигде ;-)

Алексей Лукацкий комментирует...

Пока нигде

Сергей комментирует...

В приказе 58 в п.2.1. приведено требование к сертификации всех средств защиты информации. Подчеркиваю. всех! А в СТО БР ИББС только в подразделе по управлению доступом. Если бы это было в разделе 1, то вопрос бы не возникал, а так можно трактовать по разному требование, в частности для систем разграничения прав доступа можем использовать не сертифицированное ПО, а в остальных должно быть сертифицированное :)

Алексей Лукацкий комментирует...

В Приказе 58 ни слова про сертификацию - всего лишь про оценку соответствия ;-)

И для тех, кто вступил в "Клуб СТО" приказ 58 уже не действует. Таково соглашение ФСТЭК и ЦБ.

Сергей комментирует...

Ну как я понимаю в соответствии с волшебным документом ПП 330 (ДСП), единственный способ подтверждения соответствия - сертификация. Поэтому и говорю о сертификации :).
А вот если в документе не сказано что сертификация не обязательна - это же не означает, что она действительно не обязательна. Вопрос то заключается в чем: если регуляторы будут трактовать отсутствие такого примечания в сторону необходимости использования сертифицированных средств, кроме систем разграничения прав доступа? Например ФСТЭК по сибирскому федеральному округу считает что в любых случаях, только сертифицированные СЗИ, что заставляет задуматься :)

Сергей комментирует...

Хочу подвести к тому, что при следующем изменении СТО БР ИББС 1.0, логичнее было бы включить этот пункт в Общие положения :).

Анонимный комментирует...

>И для тех, кто вступил в "Клуб СТО" >приказ 58 уже не действует. Таково >соглашение ФСТЭК и ЦБ.

Меня давно интересует вопрос - это соглашение где-то прописано или как обычно, устно договорились?

Сергей комментирует...

>И для тех, кто вступил в "Клуб СТО" приказ 58 уже не действует. Таково соглашение ФСТЭК и ЦБ.

Вот тут письмо шестерых:
http://cbr.ru/credit/Gubzi_docs/pismoKO.pdf