Неделя была очень насыщенной - две командировки, 4 перелета, 8 презентаций... Поэтому не было сил что-то писать. Да и сейчас нет. Осмысливаю впечатления от московского PHD и казанского ITSF. Поэтому эту рабочую неделю хочется закончить "позитивно" ;-)
Коллеги часто присылают мне различные интересные документы, письма, запросы регуляторов, выдержки из актов проверок и т.д. И вот новый "подарок" - письмо одного из региональных управлений ФСТЭК. Текст привожу полностью: "В соответствии с требованиями совместного приказа ФСТЭК России № 55, ФСБ России № 86 и Мининформсвязи России № 20 от 13.02.2008 "Об утверждении порядка проведения классификации ИСПДн", зарегистрированного в Минюсте России 3.04.2008 № 11462, по результатам анализа исходных данных (в том числе и по категории обрабатываемых ПДн) ИСПДн присваивается один из классов К1, К2, К3, К4.
ИСПДн, обрабатывающие ПДн, находящиеся в ведении органов государственной власти, считаются обрабатывающими государственный информационный ресурс и подлежат обязательной аттестации по требованиям безопасности информации независимо от присвоенного класса. Режим защиты ПДн, не являющихся государственным информационным ресурсом, а также перечень необходимых мер защиты устанавливается собственником информационных ресурсов.
Аттестация информационных систем производится в соответствии с требованиями Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К 2002) и Положения о методах и способах защиты информации в ИСПДн, введенных в действие приказом ФСТЭК России от 5.02.2012 № 58".
Вот такие пироги. Госорганам стоит готовиться. Хотя они всегда попадали под требования СТР-К с аттестацией, но у кого-то были сомнения. Вот позиция регулятора.
В данном письме интересен и следующий фрагмент: "Режим защиты ПДн, не являющихся государственным информационным ресурсом, а также перечень необходимых мер защиты устанавливается собственником информационных ресурсов". Он ну очень многозначителен. Если быть позитивным, то гласит он только одно - коммерческие операторы ПДн сами решают, как защищать ПДн и приказ 58 им не указ. Но эту позицию мы оставим до выхода новых документов ФСТЭК по защите персданных, которые планируются к июлю этого года.
Коллеги часто присылают мне различные интересные документы, письма, запросы регуляторов, выдержки из актов проверок и т.д. И вот новый "подарок" - письмо одного из региональных управлений ФСТЭК. Текст привожу полностью: "В соответствии с требованиями совместного приказа ФСТЭК России № 55, ФСБ России № 86 и Мининформсвязи России № 20 от 13.02.2008 "Об утверждении порядка проведения классификации ИСПДн", зарегистрированного в Минюсте России 3.04.2008 № 11462, по результатам анализа исходных данных (в том числе и по категории обрабатываемых ПДн) ИСПДн присваивается один из классов К1, К2, К3, К4.
ИСПДн, обрабатывающие ПДн, находящиеся в ведении органов государственной власти, считаются обрабатывающими государственный информационный ресурс и подлежат обязательной аттестации по требованиям безопасности информации независимо от присвоенного класса. Режим защиты ПДн, не являющихся государственным информационным ресурсом, а также перечень необходимых мер защиты устанавливается собственником информационных ресурсов.
Аттестация информационных систем производится в соответствии с требованиями Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К 2002) и Положения о методах и способах защиты информации в ИСПДн, введенных в действие приказом ФСТЭК России от 5.02.2012 № 58".
Вот такие пироги. Госорганам стоит готовиться. Хотя они всегда попадали под требования СТР-К с аттестацией, но у кого-то были сомнения. Вот позиция регулятора.
В данном письме интересен и следующий фрагмент: "Режим защиты ПДн, не являющихся государственным информационным ресурсом, а также перечень необходимых мер защиты устанавливается собственником информационных ресурсов". Он ну очень многозначителен. Если быть позитивным, то гласит он только одно - коммерческие операторы ПДн сами решают, как защищать ПДн и приказ 58 им не указ. Но эту позицию мы оставим до выхода новых документов ФСТЭК по защите персданных, которые планируются к июлю этого года.
Получит это региональное управление по шапке от ЦА за конфету коммерческим операторам ПДн, т.к. письмо противоречит требованиям новой редакции ФЗ-152 и уж никак не может их ослабить
ОтветитьУдалитьОткрытие Америки. А можно было просто СТР-К почитать внимательно.
ОтветитьУдалитьТоже касается "конфеты операторам" - что раньше, что сейчас уровень защиты они устанавливают сами, но в соответствии с методиками.
уровень да, ну а в письме то "режим защиты и перечень мер". Так что не конфета, а пустой фантик :)
ОтветитьУдалитьКоторый раз уже обсуждается эта тема и трактовка о самостоятельном определении мер. На мой взгляд, все куда проще - у операторов есть документы, в соответствии с которыми они определяют УЗ (ранее - класс), есть набор требований, которые являются минимальными необходимыми в целом (ФЗ и ПП) и по УЗ/классу (приказы), а далее, в соответствии с ФЗ, они могут сами выбирать меры, необходимые и достаточные для реализации этих требований. Если есть необходимость и желание - могут сами же определить и выполнять больший набот мер.
ОтветитьУдалитьКак пример - есть требование учета машинных носителей - пожалуйста, выбирайте - можно вести электронную библиотеку, можно бумажную, можно ещё как-то. Есть требования по предотвращению несанкционированного физического доступа - выбираем замки, систему наблюдения, сигнализации, решетки на окнах и т.д.
Но в данном письме получается странной подача, как бы в противовес - для госов нужна аттестация, а коммерсы выбирают режим сами. Что же тогда подразумевается под этим режимом (с мерами защиты-то все понятно), который коммерсы выбирают сами, а, судя по стилю написанного, госы не могут сами выбрать? Определение УЗ-то для всех одинаково. Соответственно, и требования по УЗ для всех будут равны по идее.
Данный ответ повторяет ответ ФСТЭК по ЦФО двухлетней давности
ОтветитьУдалитьhttp://zalil.ru/33415282
... ничего не меняется
Интересно, а кто нибудь анализировал, почему регуляторы так настойчиво продавливают аттестацию и сертификацию? Кому это выгодно? Сильно сомневаюсь в их бескорыстной заботе о ПДн наших граждан. Деньги немалые, и получают их коммерческие структуры. А вот проследить бы цепочку до конечного получателя.
ОтветитьУдалить"Национальная безопасность" - это их все. Почитай стратегию нацбезопасности и доктрину ИБ - там все написано, чего они боятся и почему они продвигают оценку соответствия в разных формах
ОтветитьУдалитьАттестация и сертификация позволяет управлять рынком и отдельными участниками. Это ради власти.
ОтветитьУдалитьРади власти?
ОтветитьУдалитьНепродуманное и недальновидное утверждение. Вот объясните мне - почему мы предпочитаем покупать сертифицированные телефоны, продукты питания и т.п., а когда речь заходит про средства защиты информации, то некоторые "защитники информации" тут же ищут коррупцию и проявляют пофигизм (пардон за мой французский) в этом вопросе?
Аттестация для госструктур всегда была обязательна, аттестация для коммерческих организаций - рекомендована (см. СТР-К, там все понятно изложено). Но вопрос в другом - ЗАЧЕМ ИЗОБРЕТАТЬ ВЕЛОСИПЕД?
Если есть правила, по которым играет регулятор, зачем придумывать свои? Чтобы как китайские комсомольцы преодолевать трудности, которые сами же и придумали?
Да и, как здесь уже отметили, требования ФЗ-152 письмом регионального управления ФСТЭК нельзя отменить.
Кстати, кто докажет, что ПДн не относятся к государственным информресурсам?
Вот когда средства защиты будут сертифицировать как телефоны или продукты питания, т.е. по наименованию, а не по штучно, то тогда и вопросов не будет.
ОтветитьУдалитьСтоп, стоп, Алексей!
ОтветитьУдалитьВы слышали про такую схему сертификации, как "серийное производство"?
Все СЗИ по этой схеме сертифицированы.
Что касается АТТЕСТАЦИИ, то технические каналы утечки информации у каждого объекта индивидуальны.
Законы физики, видите-ли...
"Все", вы имеете ввиду российские? Так они занимают меньше половины доли российского рынка
ОтветитьУдалить