Вот за что мне нравится NIST, так это за их динамичность в области разработки нормативных документов по ИБ. Есть у них SP 800-53 по безопасности федеральных информационных систем, первая версия которого была выпущена в начале 2000-х годов, примерно в одно и тоже время с СТР-К. Правда, документы, разработанные по разные стороны океана, также отличаются как небо и земля. Но дело не в этом. За эти 9 лет, NIST выпустил уже 3 редакции SP 800-53, пополняя его новыми рекомендациями по защите облаков, виртуализации, АСУ ТП и т.д. (к концу 2011 года планируется анонсировать 4-ю версию). И вот вчера NIST выпустил проект (и ведь не скрывают они проекты своих документов, приглашая всех к обсуждению) нового приложения к SP 800-53 - Appendix J - Privacy Control Catalog.
Данный каталог защитных мер для ПДн аккумулирует последние наработки в этой области как в самих США, так по всему миру. Причем каталог составлен грамотно - перечислены решаемые задачи и меры и описаны рекомендации по их реализации; причем совсем необязательно техническими мерами.
А у нас что? НИЧЕГО! Необновляемый уже 10 лет СТР-К (хотя в этом году обещали)... Базовая модель угроз, списанная с чьей-то диссертации 90-х годов... Приказ 58, скопированный с требований по гостайне... Колоссальный прогресс.
Данный каталог защитных мер для ПДн аккумулирует последние наработки в этой области как в самих США, так по всему миру. Причем каталог составлен грамотно - перечислены решаемые задачи и меры и описаны рекомендации по их реализации; причем совсем необязательно техническими мерами.
А у нас что? НИЧЕГО! Необновляемый уже 10 лет СТР-К (хотя в этом году обещали)... Базовая модель угроз, списанная с чьей-то диссертации 90-х годов... Приказ 58, скопированный с требований по гостайне... Колоссальный прогресс.
10 коммент.:
А "Базовая модель угроз" разве не с книги Ильи Медведовского "Атака через Internet" списана?
Копипастеры на службе государства :( http://anvolkov.blogspot.com/2011/07/blog-post_20.html
Самая стабильная роль - роль "троешника" потому что всегда есть с кого списывать...
Для тех кто заинтересован в безопасности может использовать любой документ(дополнительно?)...
Вот обратите внимание - защита ПДн - это не отдельный какой то процесс и свод мероприятий (как у нас).. а осуществляется в рамках внедрения стандарта. Его подраздел, так сказать.
Это, имхо, и есть идеал.
Стандарт(ы)есть, выбирай любой, хоть ИСО27тысяч, хоть NIST. И в рамках его реализации и защищай ПДн.. наряду с остальным.
Потому организации, внедряющие стандарты (ИСО, банковский и др.) встраивают доки по защите ПДн в доки стандарта, а не отдельно.
Так это и в БС10012 так, и это ПРАВИЛЬНО. Кстати классный документ. Все как надо, по полочкам, с остальными нормативами четко синтегрировано, PII присуцтвует. Загляденье! Умеют же...
>встраивают доки по защите ПДн в доки стандарта, а не отдельно.
И отдельно рисуют пустышку для регуляторов.
Алексей, спасибо за ссылку на документ.
А NIST у них точно рекомендательный? Даже для самых федеральных гос. учреждений?
Для госов обязательный FISMA и FIPS200
Если NIST не будет делать стандарты то его спросят - на что идут деньги налогоплательщиков? Потому что деньги эти кем-то заработанные, а деньги полученные ФСТЭК перераспределенные с выкачки нефтегаза. И получает она их чисто за лояльность.
Уважаемые эксперты по защите персональных данных!
У меня возник вот такой вопрос. Наше государство в лице регулирующих органов принимает решение за нас относительно того, как должны защищаться персональные данные и осуществляет контроль за сохранением конфиденциальности этих данных. В месте принятия решения должна возникать и ответственность за его последствия.
В каких законах эта ответственность регуляторов прописана? Сколько чиновников из регулирующих органов ответили своими теплыми местами за то, что наши данные (зачастую из баз, принадлежащих государству) продаются на рынках?
Отправить комментарий