Pages - Menu

Страницы

18.10.11

Стандарт НАУФОР одобрен ФСБ

11 октября ФСБ одобрила стандарт НАУФОР по защите персональных данных "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами-профессиональными участниками рынка ценных бумаг". Далее стандарт будет направлен на согласование в ФСФР России. Предполагается, что нареканий и отказов со стороны ФСФР не будет.

Интересно, что двумя днями позднее, американская "сестра" ФСФР - Комиссия по ценным бумагам США опубликовала интересный документ (неимеющий статуса обязательного или даже рекомендательного - просто мнение регулятора) в отношении обязательств по раскрытию информации о кибербезопасности и киберинцидентах. Интересно, ФСФР когда-нибудь дорастет до таких же по сути документов?..

20 комментариев:

  1. Alexey Volkov18 октября 2011 г. в 20:51

    Так а что им дорастать - раз "сестра" и то не обязывает...

    ОтветитьУдалить
  2. Alexey Volkov18 октября 2011 г. в 20:52

    Да, кстати, а ФСТЭК не при делах что ли?

    ОтветитьУдалить
  3. Алексей Лукацкий18 октября 2011 г. в 21:56

    ФСТЭК еще раньше согласовал

    ОтветитьУдалить
  4. Шаломович Максим18 октября 2011 г. в 22:41

    Это отраслевое приложение к 152-ФЗ или как? В смысле, насколько сильно пересекается закон и стандарт?

    ОтветитьУдалить
  5. Алексей Лукацкий18 октября 2011 г. в 23:15

    Скорее отраслевое приложение, разъясняющее 19-ю статью

    ОтветитьУдалить
  6. Евгений III19 октября 2011 г. в 09:44

    Они его как обычноне дают скачивать

    ОтветитьУдалить
  7. Анна Шестакова19 октября 2011 г. в 10:39

    Евгений, скачать можно, только не самым очевидным способом;)

    ОтветитьУдалить
  8. Алексей Лукацкий19 октября 2011 г. в 11:00

    Он нужен только членам НАУФОР. Зачем его остальным-то читать?

    ОтветитьУдалить
  9. Евгений III19 октября 2011 г. в 11:20

    Чтобы посмотреть что они там про 19 ст. понаписали.

    ОтветитьУдалить
  10. Алексей Лукацкий19 октября 2011 г. в 11:22

    Они стандарт разработали еще в прошлом году; по старой редакции ФЗ-152. Революции и крамолы от согласованных у регуляторов документов ждать не стоит. Просто детальное разъяснение требований по защите...

    ОтветитьУдалить
  11. Анна Шестакова19 октября 2011 г. в 11:30

    Они там скорее из закона и всех подзаконников информации понадергали и скомпоновали, есть правда интересный момент про компенсационные меры.

    ОтветитьУдалить
  12. Алексей Лукацкий19 октября 2011 г. в 11:32

    Да, мне идея компенсационных мер тоже понравилась

    ОтветитьУдалить
  13. VAVT19 октября 2011 г. в 11:46

    Я все-таки не понимаю, какой смысл в этом отраслевом стандарте ПОСЛЕ принятия последней редакции 152-ФЗ. Требования к защите устанавливает Правительство, угрозы актуальные определяют органы исполнительной власти. Ассоциации вправе только определить дополнительные угрозы безопасности. Так какой смысл имеет модель угроз НАУФОР и рекомендации по реализации мер защиты? Исключительно как "костыль" до момента принятия подзаконных актов что ли?

    ОтветитьУдалить
  14. Алексей Лукацкий19 октября 2011 г. в 11:58

    Если надзорный орган согласовал, то можно предположить, что и руководствоваться он будет стандартом. Несмотря на то, что написано в законе

    ОтветитьУдалить
  15. Евгений III19 октября 2011 г. в 12:15

    1) Закон как дышло.
    2) ИСС видимо вбухал в него кучу времени/денег, чтобы просто так от него отказаться в связи с п.1

    ОтветитьУдалить
  16. Анна Шестакова19 октября 2011 г. в 12:26

    VAVT, с Вами полностью согласна, смысла на данный момент никакого, но сам стандарт принят был еще до поправок. На сайте НАУФОР заявлено, что будут обновлять в соответствии с изменениями в законодательстве. Посмотрим:)

    ОтветитьУдалить
  17. Евгений III19 октября 2011 г. в 15:44

    2. Комп. мера 1. На примере антивируса предлагают зоопарк мер: хипс, арксайт и инцидент менеджемент, вместо того, чтобы убрать админские права.
    3. Комп. мера 2. Предлагают разнести орг. Меры по времени. Почему организационные, а не технические? С организационными наоборот все предельно понятно и тогда и сейчас.

    ОтветитьУдалить
  18. Евгений III19 октября 2011 г. в 15:45

    1. Стандар уже неактуален, имхо

    ОтветитьУдалить
  19. VAVT19 октября 2011 г. в 18:20

    Анна Шестакова, стандарт действительно был принят до принятия поправок в 152-ФЗ, но ФСБ и ФСТЭК его "утвердили" уже после, т.е. заведомо осознавая его сомнительную легитимность.

    НАУФОР проводит курсы по применению стандарта, среди рассматриваемых тем есть такие:
    "Положения Стандарта, позволяющие оптимизировать деятельность организации по защите персональных данных", "Использование Стандарта в ходе взаимодействия с регулирующими органами, в том числе в ходе проверок". Насколько мне известно, и сам стандарт разрабатывали, и курсы эти проводит некое ООО «Инфосекьюрити Сервис».

    ОтветитьУдалить
  20. Анна Шестакова20 октября 2011 г. в 12:42

    VAVT, опять-таки соглашусь, регуляторы согласовали сомнительный документ (не в первый раз, кстати), зачем - известно только им...
    Я тоже видела информацию о том, что стандарт ООО «Инфосекьюрити Сервис» разработала. http://infosecurityservice.ru/?m1=90 ;)

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.