На сайте ФСБ опубликовано два проекта Постановления Правительства по ПДн:
- Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных
- О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных
22 коммент.:
ужос, оторванный от реальности
"6. Средства защиты информации, предназначенные для обеспечения
безопасности персональных данных при их обработке в информационных
системах, подлежат учету..."
А если используются несертиф-ые СрЗИ, где брать индексы?
"11. Оператор на основе исходных данных определяет класс
информационной системы (Кi) в соответствии с таблицей."
Что-то я не понял, начали про уровни и вдруг классы. Это как понять?
Алексей, еще будут ПП или это все?
58 приказ ФСТЭКа переделывать не будут?
А мне вспомнились размышления Алексея Волкова по поводу определения уровней защищенности. Сравнил и прослезился ;(
УУУУ, сколько несоответствий законодательству! Щас напишу...
Эх, Роман... Рыд(г)аю здесь - http://anvolkov.blogspot.com/2012/04/blog-post_27.html
Алексей Краснов: ну там же ясно написано что не прошедшие оценку соответствия и не согласованные с ФСТЭК и ФСБ - нельзя использовать.
Артем, нет, это все. Свои комменты можно давать числа до 3-5-го мая. Потом авторам надо будет внести финальные правки и согласовать текст с ФСТЭК и Минкомсвязи. До 31 мая проекты должны направить в аппарат Правительства. Потом подписание.
Параллельно готовятся приказы ФСТЭК и ФСБ с перечислением защитных мер, исходя из уровней. Их проекты должны опубликовать в июне/июле.
Как думаете, такие параметры как:
- с учетом возможного вреда субъекту
персональных данных;
- вида деятельности,
регулируются в моделе угроз?
Т.к. в высшей математике они не участвуют.
Не участвуют
не регулируются
Господа законодатели! Запретите продажу в РФ СЗИ без сертификата - снимется куча вопросов. А то, что ни закон, ни ПП не имеют отношения к защите именно субъекта было понятно изначально.
Не запретят, ибо ВТО и "признание международных сертификатов", и потому вся это тряхомудия.
Регулируются и участвуют )))) Читайте внимательно! Я ржал, когда нашел.
Мой наиподробнейший постатейный комментарий и предложения на сайте мейла http://files.mail.ru/SZPP1U.
Естественно отослал по указанному адресу с сайта
Подсказка по вреду и видам деятельности - пункты 8 и 12Положения
Внимательно прочитал Ваши замечания - очень хорошая работа, браво!
Шпасибо :) Очень хотел помочь ФСБ в вопросах, по которым больше всего непоняток (на мой взгляд).
немного поправил замечания от ZZUbra
Так что альтернативный вариант замечаний тут:
https://docs.google.com/open?id=0ByTve-wKShjmN3EyNmo2SnkyQ1U
Не мог согласится с автором по поводу необходимости требований о наличии у оператора лицензий.
Дополнил по поводу оценки возможного вреда
Ну про лицензии у каждого свой взгляд. Во-первых я работаю в компании лицензиате, во-вторых это и без работы мое мнение, т.к. строительство зданий без лицензий уже дает результаты. Со смертями. А вроде строили "для себя".
Ну а в третьих - я таки пишу то что может быть рассмотрено, а не сразу отклонено.
Но у каждого свое мнение :)
Отправить комментарий