1-го ноября Правительство утвердило долгожданное Постановление №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Про проект этого Постановления я уже писал в конце сентября и вот один месяц и мы имеем дело с утвержденным нормативным актом. Правда, вместо двух постановлений (по уровням защищенности и по требованиям безопасности) Правительство выпустило одно, объединенное.
Но посмотрим на него чуть более внимательно. Начнем с того, что ПП-781 официально утратило силу, а с ним подвисли в воздухе "приказ трех" по классификации, а также методички ФСБ по шифрованию и приказ ФСТЭК №58, которые базировались именно на ПП-781. Но в любом случае это ненадолго. Проекты приказов ФСТЭК и ФСБ на подходе, а новая классификация приведена уже в самом Постановлении (никаких специальных или типовых систем).
Кстати, выход нового Постановления влечет за собой и далеко идущие последствия. Во-первых, теперь ФСТЭК придется обновлять свои РД по IPS и антивирусам, которые были привязаны к 4-м классам ИСПДн. А во-вторых, становится очевидным, что принятый 4 года назад подход по указанию в сертификатах ФСТЭК класса ИСПДн, для которого возможно применение прошедшего оценку соответствия средства защиты, дал сбой. Теперь в сертификатах этого уже не укажешь. Да и что делать с уже выданными сертификатами теперь непонятно.
Вся защита зависит от актальных угроз, но выбор средств нейтрализации этих угроз должен базироваться на документах ФСТЭК и ФСБ, которые должны скоро выйти. По идее там должна быть четко указана зависимость выбираемых средств защиты от актуальности той или иной угрозы, но вот как это будет реализовано, пока понимаю с трудом. Предсказуемо поменялась ситуация с оценкой соответствия. Если в проекте она требовалась только начиная со 2-го уровня, то в итоговом варианте - уже с 4-го. К счастью форма оценки соответствия не определена, а с учетом грифа на ПП-330, можно выбирать, что угодно (про это я уже писал и напишу очень скоро еще раз).
С классификацией ИСПДн авторы опять перегнули и, к сожалению, к критике и ранеев высказанным предложениям не прислушались. Например, непонятно, на каком основании сведения о судимости были существенно занижены с точки зрения отнесения их к той или иной ИСПДн. В законе они почти приравнены к специальным категориям, а в Постановлении №1119 приравнены к обычным ПДн. С ИСПДн, обрабатывающей общедоступные ПДн, тоже косяк. Например, согласно ФЗ о государственной регистрации юрлиц, большая часть ПДн учредителей юрлица относится к общедоступной информации. Но это не позволяет считать тот же ЕГРЮЛ ИСПДн, обрабатывающей общедоступные ПДн.Ведь по Постановлению к таким ИСПДн относятся только те, которые созданы в соответствие с 8-й статьей ФЗ-152.
Определение актуальных угроз таит в себе мину замедленного действия. Меня в определении "под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе" напрягает фраза, выделенная жирным. Случайный доступ может быть ВСЕГДА, а значит получается, что у нас и все угрозы являются актуальными. Но это все равно не так страшно, т.к. нам помогают следующие абзацы Постановления В частности в нем говорится, что все угрозы делятся на 3 типа (в зависимости от наличия НДВ). А актуальность этих угроз определяет оператор. И я повторю то, что писал раньше, рассматривая проекты данных Постановлений. Угрозу НДВ в контексте защиты ПДн я считаю неактуальной, а посему у нас остаются только угрозы 3-го типа.
При этом, согласно Постановлению и части 4 статьи 19 ФЗ-152 "федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки". Пока таких документов нет (кроме РС 2.4 Банка России и документов Минздрава). Это влечет за собой как возможность самостоятельного определения актуальных угроз, так и возможности выбрать выжидательную позицию. Нет документов, нет возможности определиться с угрозами, а значит и меры по защите нельзя выбрать ;-)
Косяк с тем, что при наличии ПДн о 100000 субъектах провести классификацию невозможно, так и не устранили (а ведь авторам про это тоже писали). Проблема с аутстаффингом осталась, а вот про сотрудников ИП, о которой я писал, устранили. Тем более непонятно, почему не убрали остальные, очевидные недочеты?..
Что касается требований по безопасности в зависимости от уровня защищенности, то тут ничего нового (кроме уже упомянутого переноса оценки соответствия со 2-го уровня на 4-й). Еще перенесли требование по доступу к содержанию электронного журнала сообщений только уполномоченным сотрудником с 3-го на 2-й уровень. Правда, что за журнал имелся ввиду, фиг поймешь. Для 1-го уровня помимо создания подразделение по защите ПДн возможно возложение этих задач на одно из существующих подразделений (например, на ИТ) такого функционала.
В целом могу сказать, что финальный вариант не так чтобы сильно изменился. Что-то стало получше, что-то похуже, что-то осталось без изменений. Пессимизм коллег относительно документа по-прежнему не разделяю - считаю, что возможность самостоятельного определения актуальных угроз - это уже недурно. Важно, конечно, что будет написано в приказах ФСТЭК и ФСБ, но если и они будут зависеть от актуальности угроз, то хуже, чем есть сейчас точно не будет.
А причем тут правая и левая рука Правительства, вынесенные в заголовок? А тут все просто. Если посмотреть на 13-й пункт Постановления №1119, то мы увидим, что требование наличия контролируемой зоны (т.е. зоны, куда запрещен доступ посторонних) при обработке ПДн остался и остался на 4-м, минимальном уровне защищенности. А теперь давайте посмотрим на множество инициатив, которые так активно продвигает руководство нашего правительства... Многие из них связаны с доступом с мобильных устройств. Что-то да, возможно делать из помещений с контролируемым доступом, например, дистанционный доступ к библиотекам или музеям, но это в любом случае частный и не самый распространенный пример применения мобильных устройств. Все-таки они создавались, чтобы работать из любого места, где есть Интернет.
Оснащение сотрудников ГИБДД планшетниками для проверки в реальном времени информации о водителях, угнанных авто и т.д. Невозможно! Ну где вы на улице видели контролируемую зону? Использование врачами планшетных компьютеров при выезде к пациентам. Невозможно! Пограничные посты в аэропортах? Невозможно! Таможенные терминалы? Невозможно! И т.д. и т.п. Я уже не говорю про применение планшетников банковскими и страховыми агентами. Они тоже не могут работать с персданными за пределами собственной контролируемой зоны. Да что планшетники... Вынос точки продаж за пределы собственного или арендуемого здания в места массового скопления народа (например, торговые или дилерские центры) теперь становится невозможен. И все это подписал человек, так ратующий за активное внедрение мобильных технологий ;-(
ЗЫ. Услуги по облачной безопасности как всегда забыта, но это и понятно - не могут пока регуляторы воспринять такой вариант реализации системы защиты, не укладывается он у них в голове. Ну со временем все утрясется, я думаю.
Но посмотрим на него чуть более внимательно. Начнем с того, что ПП-781 официально утратило силу, а с ним подвисли в воздухе "приказ трех" по классификации, а также методички ФСБ по шифрованию и приказ ФСТЭК №58, которые базировались именно на ПП-781. Но в любом случае это ненадолго. Проекты приказов ФСТЭК и ФСБ на подходе, а новая классификация приведена уже в самом Постановлении (никаких специальных или типовых систем).
Кстати, выход нового Постановления влечет за собой и далеко идущие последствия. Во-первых, теперь ФСТЭК придется обновлять свои РД по IPS и антивирусам, которые были привязаны к 4-м классам ИСПДн. А во-вторых, становится очевидным, что принятый 4 года назад подход по указанию в сертификатах ФСТЭК класса ИСПДн, для которого возможно применение прошедшего оценку соответствия средства защиты, дал сбой. Теперь в сертификатах этого уже не укажешь. Да и что делать с уже выданными сертификатами теперь непонятно.
Вся защита зависит от актальных угроз, но выбор средств нейтрализации этих угроз должен базироваться на документах ФСТЭК и ФСБ, которые должны скоро выйти. По идее там должна быть четко указана зависимость выбираемых средств защиты от актуальности той или иной угрозы, но вот как это будет реализовано, пока понимаю с трудом. Предсказуемо поменялась ситуация с оценкой соответствия. Если в проекте она требовалась только начиная со 2-го уровня, то в итоговом варианте - уже с 4-го. К счастью форма оценки соответствия не определена, а с учетом грифа на ПП-330, можно выбирать, что угодно (про это я уже писал и напишу очень скоро еще раз).
С классификацией ИСПДн авторы опять перегнули и, к сожалению, к критике и ранеев высказанным предложениям не прислушались. Например, непонятно, на каком основании сведения о судимости были существенно занижены с точки зрения отнесения их к той или иной ИСПДн. В законе они почти приравнены к специальным категориям, а в Постановлении №1119 приравнены к обычным ПДн. С ИСПДн, обрабатывающей общедоступные ПДн, тоже косяк. Например, согласно ФЗ о государственной регистрации юрлиц, большая часть ПДн учредителей юрлица относится к общедоступной информации. Но это не позволяет считать тот же ЕГРЮЛ ИСПДн, обрабатывающей общедоступные ПДн.Ведь по Постановлению к таким ИСПДн относятся только те, которые созданы в соответствие с 8-й статьей ФЗ-152.
Определение актуальных угроз таит в себе мину замедленного действия. Меня в определении "под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе" напрягает фраза, выделенная жирным. Случайный доступ может быть ВСЕГДА, а значит получается, что у нас и все угрозы являются актуальными. Но это все равно не так страшно, т.к. нам помогают следующие абзацы Постановления В частности в нем говорится, что все угрозы делятся на 3 типа (в зависимости от наличия НДВ). А актуальность этих угроз определяет оператор. И я повторю то, что писал раньше, рассматривая проекты данных Постановлений. Угрозу НДВ в контексте защиты ПДн я считаю неактуальной, а посему у нас остаются только угрозы 3-го типа.
При этом, согласно Постановлению и части 4 статьи 19 ФЗ-152 "федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки". Пока таких документов нет (кроме РС 2.4 Банка России и документов Минздрава). Это влечет за собой как возможность самостоятельного определения актуальных угроз, так и возможности выбрать выжидательную позицию. Нет документов, нет возможности определиться с угрозами, а значит и меры по защите нельзя выбрать ;-)
Косяк с тем, что при наличии ПДн о 100000 субъектах провести классификацию невозможно, так и не устранили (а ведь авторам про это тоже писали). Проблема с аутстаффингом осталась, а вот про сотрудников ИП, о которой я писал, устранили. Тем более непонятно, почему не убрали остальные, очевидные недочеты?..
Что касается требований по безопасности в зависимости от уровня защищенности, то тут ничего нового (кроме уже упомянутого переноса оценки соответствия со 2-го уровня на 4-й). Еще перенесли требование по доступу к содержанию электронного журнала сообщений только уполномоченным сотрудником с 3-го на 2-й уровень. Правда, что за журнал имелся ввиду, фиг поймешь. Для 1-го уровня помимо создания подразделение по защите ПДн возможно возложение этих задач на одно из существующих подразделений (например, на ИТ) такого функционала.
В целом могу сказать, что финальный вариант не так чтобы сильно изменился. Что-то стало получше, что-то похуже, что-то осталось без изменений. Пессимизм коллег относительно документа по-прежнему не разделяю - считаю, что возможность самостоятельного определения актуальных угроз - это уже недурно. Важно, конечно, что будет написано в приказах ФСТЭК и ФСБ, но если и они будут зависеть от актуальности угроз, то хуже, чем есть сейчас точно не будет.
А причем тут правая и левая рука Правительства, вынесенные в заголовок? А тут все просто. Если посмотреть на 13-й пункт Постановления №1119, то мы увидим, что требование наличия контролируемой зоны (т.е. зоны, куда запрещен доступ посторонних) при обработке ПДн остался и остался на 4-м, минимальном уровне защищенности. А теперь давайте посмотрим на множество инициатив, которые так активно продвигает руководство нашего правительства... Многие из них связаны с доступом с мобильных устройств. Что-то да, возможно делать из помещений с контролируемым доступом, например, дистанционный доступ к библиотекам или музеям, но это в любом случае частный и не самый распространенный пример применения мобильных устройств. Все-таки они создавались, чтобы работать из любого места, где есть Интернет.
Оснащение сотрудников ГИБДД планшетниками для проверки в реальном времени информации о водителях, угнанных авто и т.д. Невозможно! Ну где вы на улице видели контролируемую зону? Использование врачами планшетных компьютеров при выезде к пациентам. Невозможно! Пограничные посты в аэропортах? Невозможно! Таможенные терминалы? Невозможно! И т.д. и т.п. Я уже не говорю про применение планшетников банковскими и страховыми агентами. Они тоже не могут работать с персданными за пределами собственной контролируемой зоны. Да что планшетники... Вынос точки продаж за пределы собственного или арендуемого здания в места массового скопления народа (например, торговые или дилерские центры) теперь становится невозможен. И все это подписал человек, так ратующий за активное внедрение мобильных технологий ;-(
ЗЫ. Услуги по облачной безопасности как всегда забыта, но это и понятно - не могут пока регуляторы воспринять такой вариант реализации системы защиты, не укладывается он у них в голове. Ну со временем все утрясется, я думаю.
74 коммент.:
Еще одно подтверждение того, что чхали товарищи регуляторы на мнения всяких там экспертов. А сбор предложений - фикция, чтобы галочку для начальства поставить, что мол "народ выслушали"
Да, можно этим оправдывать свое ничегонеделанье
Ну вот, можно считать закрытым давний спор с Алексеем по поводу его излишней оптимистичности в отношении новых нормативных документов. Картина ровно такова, как предсказывали "пессимисты". Апофеозом можно считать привнесение оценки соответствия любых СЗИ, используемых для защиты от актуальных угроз, для всех уровней защищенности. Последняя соломинка, которая осталась, это право некоторых организаций утверждать свои собственные отраслевые МУ.
Так что все исполнение закона как обычно превратилось в борьбу лобби.
p.s. ну и как обычно вызывает отвращение весь этот цирк с написанием новых старых законодательных актов.
Вся статья пронизана духом "закон что дышло, куда поверни туда и вышло"... Ваши интерпретации Алексей никак не подтверждены регуляторами - и что касается "оценки соответствия" и отраслевых моделей и других вопросов. Радоваться документу с кучей двояких толкований и вообще не имеющему смысла без документов ФСТЭК и ФСБ преждевременно.
А ничегонеделанье у экпертов ровно потому, что был опыт всегоделанья, который превратился в пшик...
Печально, что нормативка регуляторов опять повисла в воздухе из-за темы с классификацией.
Постановление в таблицах http://sdrv.ms/WtynjO
8 типов ИСПДн, 29 случаев классификации ИСПДн, 3 типа угроз, 4 уровня защищенности ИСПДн, от 4 до 7 требований по обеспечению защищенности.
И только 2 вопроса:
1. Когда будут документы ФСБ и ФСТЭК
2. Что понимается под НДВ??????
PS НДВ - возьму на себя смелость сказать, что сейчас нет НИ ОДНОЙ программки, у которой в документации были бы описаны ВСЕ ее возможности и функции, ВКЛЮЧАЯ сферу и среду их применения. Просто из-за сложности и разнообразия применений (сфер деятельности человека) и огромного количества ПО. Это НДВ? И откуда оно начинается, пока дойдет до закладок?
Кстати сказать, не встречал в лицензионных соглашениях ответственности производителя за достоверность обработки и целостность данных. Это явно заявленное НДВ ))))
ZZubra: твой документ плохо структурирован - фиг разберешь, что ты имел ввиду ;-(
Алексй Т.: именно потому что мои интерпретации не подтверждены регуляторами, я могу интерпретировать так, как прочитал НПА. А учитывая отсутствие права проведения проверок негосударственных организаций, я могу не бояться за то, что мою интерпретацию кто-нибудь опротестует.
Что касается оценки соответствия, то Алексей Волков в суде уже доказал, что оценка может быть и не только в форме обязательной сертификации. Было бы желание.
Разумеется хочется, чтобы в НПА было написано все четко и без двойственностей и чтобы даже идиот мог понять, что имели ввиду. Но мы живем в России и надо проявлять творческий подход при прочтении НПА. Сами регуляторы про это тоже регулярно напоминают. Они и рассчитывают на тех, кто хочет во всем видеть только четкую картину, а потому будут выполнять все по худшему сценарию.
У меня тоже в таблице.
http://shaurojen.blogspot.ru/2012/11/1119.html
Алексей, Вы нас упрекаете в том, что мы не пишем замечания, не работаем над документами регуляторов, и при этом говорите "мои интерпретации не подтверждены регуляторами", но вы и в тесном контакте с регуляторами и работаете активно над всем. ВАш опыт только подтверждает эффективность работы с регуляторами...
Я работаю не над всем ;-) Я же не бог ;-) Там где мне удается побыть экспертом, там мне что-то удается вставить правильное на мой взгляд. Там где не удается - там не удается. Ну а что касается интерпретации, то все, что не подкреплено ОФИЦИАЛЬНОЙ позицией - это все интерпретация. Если я вам скажу, что с моей интерпретацией вопросов оценки соответствия регуляторы согласны - вам от этого будет легче, если вы официального ответа регулятора не найдете?
>>твой документ плохо структурирован - фиг разберешь, что ты имел ввиду ;-(
Вот из-за различных моделей мышления мы одно и то же видим по-разному ))))) Отсюда и проистекают проблемы НПА в России
Немного пофантазируем: Возможно для ГИБДД и врачей, контролируемой зоной будет граница области например), ну если глядеть шире то и Государственная граница РФ. А почему нет, этж Госслужащие???
Алексей! Я слышал, что операторов, которые строили СЗПДн по старым НМД, трогать вроде бы не собираются. Какие прогнозы на сей счет?
Проблемы НПА в России "проистекают" из двух источников:
1. безграмотности разработчиков (в т.ч. и, в первую очередь, языковой);
2. коррумпированности системы (желания "слупить бабла на халяву").
ПП-1119 с точки зрения правил русского языка и логики - полный абсурд. Позавидовал англичанам. Говорят, у них при наличии 3-х грамматических или стилистических ошибок закон не подлежит исполнению. Нам бы такое! Правда, остались бы на некоторое время вообще без законов, но потом ... может быть ...
Не читал проект этого документа, сразу в утвержденном варианте. Первое впечатление - это бред :).
У меня один вопрос - есть хоть один человек, который считает, что все эти хитровые...ые конструкции имеют отношение к реальному обеспечению безопасности ПДн???
Все эти ранее притянутые за уши количественные показатели в 100 тыс., потерянный ранее НДВ,кусочки требований по уровням защиты, которые даже не являются обобщенными и не предполагают дальнейшего раскрытия в документах ФСБ И ФСТЭК...
Да все проще, Правительство дало нам новую отсрочку на то, что и так никто не исполнил. :) просто в завуалированной форме...
А доводы про оценку рисков, а не угроз - кто рисками управляет, кроме представителей банковской сферы?
Интеграторы то чем не довольны, совсем не понятно, им новое поле деятельности... Только написали документы и т.д и вот можно снова переписывать, а про то, что за клиентов переживаете, ну не надо...., не стоит :)
У кого опыт "всегоделанья" с подтверждением документом, по какой системе? Исключая снова банки.
Согласен с ZZubra про НДВ, надо с низа начинать. Что толку DLP внедрять, если пароль 123. Так и здесь, все наши отечественные сертифицированные продукты, продаваемые за странное количество денег должны иметь полное описание возможностей, а ничего нет.
2 Tomas под "всегоделаньем" подразумевалось взаимодействие с регуляторами, а не процессы защиты ПДн (хотя конечно и там все рассуждающие засветились, кто-то лучше, кто-то хуже). Отсрочки никакой уже давно не дается, Вы о чем? А по поводу интеграторов - с такой законодательной чехардой последние клиенты разбегутся ;-)
Одно не понятно, ну почему каждый новый НПА обязательно вводит новые понятия (иначе уже моветон) так, как будто действующих и не существовало. И опять разночтения в прочтении, понимании, споры с регуляторами ..... "Если кто то зажигает звезды - ...."
Алексей, а можно поподробней насчёт "Что касается оценки соответствия, то Алексей Волков в суде уже доказал, что оценка может быть и не только в форме обязательной сертификации. Было бы желание."
Я не Алексей, но отвечу: см. запись вебинара "Практические советы операторам персональных данных" http://www.risspa.ru/volkov_personal_data_170812
"Угрозу НДВ в контексте защиты ПДн я считаю неактуальной" - провокатор... :)
А я считаю актуальной! Вот такой я мазахист! ;)
"использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз"
Для нейтрализации актуальных угроз необходимо внедрить прошедшие оценку соответствия СЗИ.
А оценка соответствия уже имеющихся средств (состав которых учитывался при оценке вероятности реализации угроз)не требуется, так как они не используются для нейтрализации "актуальных" угроз, они делают неактуальными иные?
Или перемудрил?
пока что нет методики определения актуальности угроз, поэтому нет смысла гадать
Любой документ, рожденный в атмосфере недоверия, будет переделываться тыщу раз, разрастаться и дописываться, резултаты его применения не будут анализироваться, а пользователи его будут придумывать всё новые и новые интерпретации так, чтобы родителю его было еще над каким улучшением подумать и добавить еще какую инструкцию/багу/повод для интерпретации. А всё из-за чего: родитель документа - из одной культуры, а пользователь - из другой. А меж ними - недоверие.
А ведь всего-то что нужно - общая цель - договориться, установить общий понятный друг другу язык. И тогда понятие "контролируемая она" например воспримется как в том числе включающая "частное пространство" работника, внутри которого можно переносить документы, портфели, планшеты, флэшки, и которое охраняется государством! И куча других понятий будет проще, короче и наступит всеобщее взаимопонимание. Только над этим нужно работать всем, непокладая рук, тяжело работать с одной целью - установить общий язык. Ибо все на одной территории живём. И не нужны будут длинные посты, которые никому не нужны, а будет всеобщий взгляд в будущее и желание предлагать улучшения, а не критиковать сделанное...
С уважением.
Можно ли считать патрульный автомобиль ГИБДД контролируемой зоной? Думаю, можно, туда нет бесконтрольного доступа кого попало.
Можно ли считать квартиру пациента, куда пришел доктор контролируемой зоной?
Продолжать можно бесконечно, необходимы жесткие требования по использованию абонентского устройства, и, конечно, использование соответствующих СКЗИ для подключения через Интернет.
Пункт 13 ПП РФ 1119 в частности гласит: "Выполнение требования:организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения".
Коллеги, у меня есть ощущение что произошла подмена понятий.
Речь идет о помещениях, в которых обрабатываются ПДн, а не о том, что необходимо обрабатывать ПДн исключительно в помещениях.
Не так ли?
Опять же в документе речь идет о "сотрудниках оператора". Ну нет в ТК такого понятия! Там речь идет исключительно о РАБОТНИКЕ.
Быть может, говоря "сотрудник", имели ввиду и лиц, работающих по ГПД..
>Речь идет о помещениях, в которых обрабатываются ПДн, а не о том, что необходимо обрабатывать ПДн исключительно в помещениях.
Речь о том, что для тех помещений, где не дай бог будут обрабатываться ПДн, должен быть обеспечен ограниченный режим доступа. Зашел врач в квартиру пациента, захотел воспользоваться планшетом для подключения к ИСПДн? Будь добр позови полиционера, чтобы он обеспечил режим охраны. Как-то так.
А еще конечно удивляет выделение ИСПДн, содержащее только ПДн "сотрудников" оператора. Много ли их таких? Можно конечно искусственно реализовать такую систему, но вот знают ли разработчики этого текста, что в кадрово-бухгалтерской системе (которая скорее всего и имелась в виду) должны быть данные о родственниках и иждивенцах работника? Значит уже не чисто сотрудники предприятия. СКУД? А посетители, которым оформляется временный пропуск? Из однозначно только про сотрудников могу назвать только телефонный справочник организации...
>Зашел врач в квартиру пациента, захотел воспользоваться планшетом для подключения к ИСПДн? Будь добр позови полиционера, чтобы он обеспечил режим охраны. Как-то так.
Даже комментировать такую глупость не хочу.
>Даже комментировать такую глупость не хочу.
Ваше право. Но если в требовании русским по белому написано "режима... препятствующего возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в это помещение" то вы конечно можете начинать играть словами, придумывать разные синонимы и проч, что не меняет факта - оператор обрабатывает ПДн в каком-либо помещении - следовательно он обязан обеспечить ограничение доступа в это помещение.
Вот вам удобная структурированная табличка :)
https://docs.google.com/spreadsheet/ccc?key=0AkM72VSEs5t2dFNMWF82N1VBQ1BvUGIxVTZreElkaXc
>Но если в требовании русским по белому написано "режима... препятствующего возможности неконтролируемого проникновения или пребывания лиц, не имеющих права доступа в это помещение"
Ваша квартира - проходной двор? Там неконтролируемо могут находиться лица, не имеющие доступа?
Так можно дойти до крайности - у двери кадровой службы самой зачуханной ОООшки тоже полиционер должен стоять?
А мы живем в стране крайностей. Вас не смущает, что ИП, использующий СКЗИ должен получить лицензию ФСБ и иметь в своем штате 2-х обученных человек? Индивидуальный предприниматель и два человека...
Alisa: http://sborisov.blogspot.com/2012/09/2.html
Очень похоже )))
<<<Что касается оценки соответствия, то Алексей Волков в суде уже доказал, что оценка может быть и не только в форме обязательной сертификации. Было бы желание.
А как же ИНФОРМАЦИОННОЕ СООБЩЕНИЕ ФСТЭК от 4 мая 2012 г. N 240/24/1701, в котором четко указано, что
"средства защиты информации, содержащей сведения, составляющие государственную тайну, а также средства защиты информации конфиденциального характера, используемые в целях защиты государственного информационного ресурса и (или) персональных данных, подлежат оценке соответствия в форме обязательной сертификации.
??
А кто сказал, что сертификация - это единственная форма оценки соответствия? Их 7!
Алексей, так Анастасия и говорит о том, что ФСТЭК России из этих семи для ПДн указывает именно на сертификацию.
ФСТЭК может говорить все, что угодно, но в законе говорится просто об оценке соответствия. А значит оператор волен выбирать любую из семи форм. Очевидно, что ФСТЭК выгодно, чтобы такой формой была сертификация. Но это их мнение, которое не подкреплено нормативными актами.
А здесь нет противоречий. Закон указывает не конкретно о семи возможных формах оценки соответствия, а об оценке соответствия как общем понятии, а ФСТЭК в пределах своих полномочий конкретизирует оценку соответствия до сертификации. И они при этом настолько уверены в своей правоте, что не "говорят что угодно", а выпустили информационное сообщение, чего всегда делали с неохотой.
По закону только Правительство может конкретизировать форму оценки
А Правительство делегирует это ФОИВ в пределах своих полномочий.
Не может Правительство это делегировать. Оно должно сказать, что оценка соответствия в форме обязательной сертификации в системе ФСТЭК. Тогда уже вступает ФСТЭК со своими требованиями
С чего бы это? "Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
Выбор да. Поэтому у ФСТЭК написано, что надо выбирать МСЭ, антивирус, IPS, сканер безопасности и СЗИ от НСД.
Но решать должны ли эти средства быть сертифицированными определяет Правительство, о чем и написано в ФЗ-184.
Удобная форма для определения уровня защищенности http://pdsec.ru/obzor1119/
У Вас устаревшие сведения - это было до ноября 2011 года. В ФЗ-184 сегодня написано следующее:
"Статья 5. Особенности технического регулирования в отношении ... продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа
1. В отношении ... продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа ... обязательными требованиями наряду с требованиями технических регламентов являются требования, установленные ... федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, ... противодействия техническим разведкам и технической защиты информации
(в ред. Федерального закона от 30.11.2011 N 347-ФЗ)
4. Особенности оценки соответствия продукции (работ, услуг), указанной в пункте 1 настоящей статьи, а также соответственно процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации или уполномоченными им федеральными органами исполнительной власти.
(в ред. Федерального закона от 30.11.2011 N 347-ФЗ)
Вадим, указанные вами поправки были внесены законом о регулировании атомной энергетики. И поправка относится только к Росатому. Поэтому регулятопы на нее никогда не ссылаются ибо любой суд откажет всем регуляторам кроме Росатома.
Алексей, поясните пожалуйста. Я читаю закон и кроме "продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии", нашёл и продукцию, указанную постом выше.
И,кстати, в вышеупомянутом информационном письме ФСТЭК ссылается именно на пятую статью.
Письмо ФСТЭК ссылается на статью в целом, т.к. это единственная возможность хоть как-то обосновать оценку соответствия средств защиты информации. На конкретную часть этой статьи письмо не ссылается. А фрагмент, что особенности оценки устанавливаются не только Правительством, но и ФОИВ, установлена именно законом о регулировании атомной энергетики и имеет отношение только к предмету регулирования атомной энергетики.
"установлена именно законом о регулировании атомной энергетики и имеет отношение только к предмету регулирования атомной энергетики" - не соглашусь я со второй частью. Допустим, человек (судья) видит новую редакцию закона, без ссылок на предыдущие изменения. По тексту закона фрагмент, который Вы привели, относится ко всем работам, указанным в статье первой, в том числе и работам по защите ПДн. В противном случае должна была быть ссылка не целиком на статью, а только на работы Росатома.
Алексей, коллеги, не могу понять фразу, помогите пож-та:
7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда
не могу понять КАК могут угрозы определяться с учетом вреда, не умещается в голове
По-моему у них явно путаница в терминах и определениях (списка которых, кстати, в постановлении нет). Если учитывать что ущерб подразумевается как составляющая угрозы, то получается что понятие угрозы явно подменено понятием риска (который ущерб*вероятность возникновения). С чем они в таком случае путают понятие "вероятность возникновения", в которое должно быть включено понятие угрозы, вообще непонятно.
Или это я ничего не понимаю и всё перепутал?
Фин, угроза - это функция от двух параметров - ущерб и вероятность его реализации. Оценили ущерб (вред) и вероятность и получили актуальные угрозы
Алексей, спасибо большое!
Мне казалось что угроза она всегда есть, и не может быть функцией от ущерба. Например, обвал потолка - это угроза. Причем здесь ущерб, я не могу понять.
А функция от ущерба я так думал что не угроза, а риск.
Есть ли какие то нормативные документы в которых угроза описана именно как функция от ущерба?
Спасибо заранее!
http://lukatsky.blogspot.com/2010/02/1.html
Алексей, спасибо большое!
Расписал подробнее.
Мне казалось что угроза она всегда есть, и не может быть функцией от ущерба. Например, угроза обвала потолка - это угроза. Она всегда есть, в любом помещении. Причем здесь ущерб, я не могу понять. Потолок может быть и в неиспользуемом здании, но угроза от этого никуда не девается.
А функция от ущерба я так думал что не угроза, а риск. Например, если потолок с вероятностью 0,000000001 обрушится у меня, то будет ущерб 1 000 000 рублей, итого риск, если количественно, 1 копейка. Если у соседа, то риск у меня 0. Угроза обвала потолка при этом никуда не девается, мы можем принять её или не принять в зависимости от оценки риска, но мы не можем говорить что её нет, в зависимости от ущерба!
Есть ли какие то нормативные документы в которых угроза описана именно как функция от ущерба?
Спасибо заранее!
Всё, вопрос снят, "актуальная" угроза понимается именно как "принятая". Я почему-то при чтении слово "актуальная" пропустил, отсюда все вопросы были..
Кстати, вот у вас же в презентации написано из 27002:
"Потенциальная причина инцидента, который может нанести ущерб"
То есть ущерб - это последствие угрозы, а не её составляющая, как Вы пишете в комментарии 5 декабря 2012 г., 20:00
Если вам не наносится ущерб, то угрозы у вас вообще нет
Нет, если не наносится ущерб, то угроза неактуальна. Но она всё равно есть :)
У вас есть 100 рублей. Их могут украсть? Да. Это угроза? Если для вас это ущерб - то да, угроза. Если не ущерб, то нет, не угроза. Актуальность определяется не наличием/отсутствием ущерба, а комбинацией размера ущерба и вероятности.
я понимаю так, что есть угроза что у меня могут украсть деньги. Она есть всегда. Или же что я их могу потерять. Она тоже есть всегда. В зависимости от этого я и определяю безопасную сумму, которую могу с собой таскать.
То есть количество денег (оно же сумма ущерба) - СЛЕДСТВИЕ угрозы, а не причина.
Отправить комментарий