Про проект Постановления Правительства "Об утверждении Положения о защите информации в национальной платежной системе" я уже писал. И вот вчера Минэкономразвития опубликовал результаты оценки этого проекта. Как это часто бывает специалистов по ИБ среди экспертов, оценивающих проекты нормативных актов, нет или их очень мало. Поэтому сами требования по защите информации не сильно оценивались, а все основные претензии сосредоточились вокруг 14-го пункта по контролю (оценке) соответствия требованиям по защите. Проект Постановления повторяет в данном вопросе СТО, говорящий, что организация вправе оценить свое соответствие самостоятельно или привлечь внешнюю организацию. Правда в проекте эта внешняя организация, предсказуемо, должна иметь лицензию ФСТЭК на ТЗКИ.
Вторым большим вопросом, вызвавшем вопросы, стала оценка соответствия в ходе аудита субъекта платежной системы, проводимого в соответствии с законодательством Российской Федерации об аудиторской деятельности. Как сюда попали аудиторы? Как и на каком основании они будут проверять соответствия требованиям по защите информации участников НПС?
Больше никаких серьезных замечаний на этот проект в Минэкономразвития не поступало.
Вторым большим вопросом, вызвавшем вопросы, стала оценка соответствия в ходе аудита субъекта платежной системы, проводимого в соответствии с законодательством Российской Федерации об аудиторской деятельности. Как сюда попали аудиторы? Как и на каком основании они будут проверять соответствия требованиям по защите информации участников НПС?
Больше никаких серьезных замечаний на этот проект в Минэкономразвития не поступало.
"Как это часто бывает специалистов по ИБ среди экспертов, оценивающих проекты нормативных актов, нет или их очень мало. Поэтому сами требования по защите информации не сильно оценивались..."
ОтветитьУдалитьА это вопрос не к МЭР, а к нам, коллеги ! Кто писал в МЭР свои соображения ? О начале проведения публичной экспертизы я писал ранее в своем блоге. Лично я написал в МЭР свои замечания, которых к сожалению в итоговом документе не увидел. А кто-то еще это делал ? Если нам всем все равно, то в МЭР, поверьте, сильно напрягаться не будут.
Интересно, что "новые" виды работ и услуг в рамках ТЗКИ не включают в себя аудит ИБ в классическом его понимании. Есть контроль защищенности от утечки по техническим каналам и от НСД, но все это в большей степени относится к аттестационным меропритиям. Как ТЗКИ связана с оценкой выполнения требований по защите информации в НПС не понятно.
ОтветитьУдалить