27.7.12

Немного обо всем, но все по делу

Аккурат перед отпуском писать больших постов на какую-то конкретную тему не буду. Просто несколько заметок.

1. По итогам совещания на тему новых нормативных актов по защите ПДн могу сказать следующее:
  • Проекты Постановлений Правительства уже согласованы со всеми органами исполнительной власти и находятся на согласовании в Аппарате Правительства. Это информация от коллег из ФСБ. От коллег из экспертного сообщества информация немного иная - проекты Постановлений вызывали негативную реакцию в Минкомсвязи и в Аппарате Правительства. Минюст сделал только оформительские замечания (навроде "убрать таблицы и переписать все словами").
  • Из проекта Постановления по уровням защищенности скорее всего исчезнет понятие категории нарушителей - его заменят (предварительно) на уровни угроз. Правда, смысл реально от этого не поменяется. На выходе будут 4 уровня защищенности. При этом, каким-то пока непонятным пока еще способом уровни защищенности будут выводится из класса ИСПДн и перечня актуальных угроз. Я так и не смог себе этого представить.
  • Возможно (тут я уже скорее фантазирую, чем опираюсь на факты), что упомянутый выше уровень угрозы будет опираться на разрабатываемый в настойщий момент документ по моделированию угроз. Это будет то ли методика для федеральных органов исполнительных власти, то ли уже готовые модели угроз. Последнее менее вероятно, но такой вариант тоже озвучивался. Мне он лично нравится больше (проще работать с уже готовым перечнем угроз), но допускаю, что для уменьшения объема работы остановятся на общей методике моделирования.
  • Постановление по требованиям по безопасности ПДн устанавливает некий базовый набор требований для всех уровней защищенности.
  • Детализация требований для каждого уровня защищенности в отдельности будет на уровне ведомственных приказов ФСТЭК и ФСБ.
  • В зависимости от актуальности угроз какие-то требования по защите для уровней защищенности можно будет невыполнять. Коллеги из ФСБ клятвенно уверяли, что так и будет и что это уже заложено в приказ ФСБ. Тут меня, если честно, гложут сомнения. Во-первых, в том варианте приказа, который я видел, никакой привязки к актуальным угрозам не было - обычное перечисление требований применительно к разным уровням защищенности. А во-вторых, я не понимаю, как можно в почти уже принятом ведомственном приказе учесть то, что еще не разработано?.. Ведь методики определения актуальных угроз, как и самого перечня этих угроз еще нет.
2. На совещании прозвучало, что и ФСТЭК и ФСБ категорически против наделения Роскомнадзора полномочиями по проверке технических и организационных мер защиты ПДн, о которых говорится и в административном регламенте РКН и в проекте Постановления Правительства о полномочиях РКН. И РКН не дадут эти поправки провести. Дальше была некоторая дискуссия, суть которой сводилась к тому, что сейчас по мнению ФСБ у РКН нет права проводить проверки технических мер по защите даже с привлечением экспертов (логику РКН уже освещал Алексей Волков). На вопрос, кто же тогда будет проводить проверки коммерческих предприятий, если РКН не может, а у ФСТЭК и ФСБ нет таких полномочий по закону, коллега из ФСБ загадочно улыбнулся. Вот и думай теперь, что значила его улыбка?.. Неужели распоряжение Президента готовится, наделяющее их такими полномочиями?..

3. На bankir.ru коллега поделился успешным опытом прохождения проверки и тем, как она проходила. Позитивно. Правда, меня удивило требование РКН иметь согласие кандидатов на замещение вакантных должностей. По закону-то не надо - ст.6.1.5 - обработка ПДн необходима для заключения договора по инициативе субъекта. Тут вроде как инициатива субъекта на заключение трудового договора. Я уже не говорю про конклюдентное согласие на обработку ПДн в резюме для целей замещения вакантной должности. Кандидат для этого и посылает свое резюме и самим фактом его отправки дает согласие...

4. Ну и напоследок. Евгений Шауро поделился своими впечатлениями от платного семинара ЦБ по НПС, на котором выступал Андрей Петрович Курило. Он перешел из ГУБЗИ в Департамент регулирования расчетов Банка России и отвечает за регулирование ИБ в НПС. В заметке есть интересные моменты и по отчетности, и по будущему СТО, и про наполнение реестра операторов платежных систем, и про многое другое. Также Курило А.П. напомнил, что банкам стоит активнее задавать свои вопросы. Как через АРБ, так и через Интернет-приемную ЦБ (правда, на момент написания этого поста она не работала).

6 коммент.:

Анонимный комментирует...

Маленький вопрос...
Вот мы как бы говорим о классификации, уровне угроз, выборе класса...

Мне искренне интересно - а как учтен вопрос ПРОЦЕССА? Ну скажем уязвимости появляются, угрозы плывут, риски выдумываются... Что в процессе то что делать? Переклассифицировать? Или закрыл вопрос и дальше трава не расти?

Итак вопрос - процесса...

Alexey Volkov комментирует...

Ответ - никак.

Анонимный комментирует...

Хорошо вам отдохнуть.

Unknown комментирует...

Алексей! Спасибо за публикацию. И как же теперь из отпуска выходить не хочется!

Атаманов Г. А. комментирует...

Для настроения в отпуске:
Я был в отпуске, когда шло обсуждение двух известных проектов, но в последний день всё-же успел отправить некоторые свои замечания. Главная мысль - у защищённости не может быть уровней. Защищённость - положение объекта "за щитом". Если объект находится за забором, тогда у него должны быть урони "зазаборности", а если под забором, тогда - "подзаборности", "автомобильности", если у него есть автомобиль, и "зашорности", если на глазах есть шоры, и т.д. и т.п. Если под большим забором, то и уровень подзаборности, по их логике, большой. Если под маленьким, то уровень подзаборности - маленький. Смешно?

SitNoff комментирует...

Добрый день! Не прокомментируете ли в одном из постов в блоге каким образом при эксплуатации в организации на виртуальных серверах нескольких автоматизированных систем ИСПДн выполнять требование:
"При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных для каждой категории персональных данных должен использоваться отдельный материальный носитель"?
Каким то образом контролировать какие из ПДн попали на какой жёсткий диск?
Что такое "цели ... заведомо не совместимы"?
И можете ли прокомментировать вопросы по уничтожению ИСПДн - http://www.tsarev.biz/news/kak-unichtozhat-personalnye-dannye/