15 мая долгожданный приказ ФСТЭК №21 от 18 февраля 2013 года "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" был зарегистрирован в Минюсте. В ближайшие пару дней он должен попасть в реестр зарегистрированных нормативных актов, а в течение недели он должен быть официально опубликован.
Для тех, кому лень ждать официального опубликования и хочется поскорее узнать, что же написано в приказе, рекомендую посмотреть запись семинара RISSPA, который проводился в марте. Презентация до сих пор актуальна.
Мое мнение об этом приказе не изменилось ;-) Я считаю, что это один из лучших документов, которые выпускался не только ФСТЭК, но и всеми другими регуляторами по ИБ. Есть ли к нему претензии? Наверное есть. Вон Ригель целый пост недавно написал с критикой. Мол фермеры его не поймут. Увы... Квалификацию каждого фермера не учтешь. Планируемые документы ФСТЭК по моделированию угроз и по разъяснению содержания конкретных мер вместе с 21-м приказом должны составить неплохую триаду требований по защите персональных данных.
По сути, ФСТЭК в итоге вышла на те же нормы, что прописаны в Евроконвенции - оператор самостоятельно выбирает меры защиты исходя из актуальных угроз, особенной обработки ПДн, применяемых технологий и адекватности защиты наносимому ущербу. Да, хорошо бы, если бы эта идея была прописана сразу в ФЗ-152; тогда бы не пришлось городить огород с ПП-1119 и подзаконными актами. Но что есть, то есть. ФСТЭК работала в тех условиях и при тех исходных данных, которые были спущены сверху. Поменять ФЗ-152 или ПП-1119 ФСТЭК не в состоянии.
Ну и в заключение поста напомню, что за последнее время было принято еще несколько нормативных актов по части ПДн:
Так что этот год станет очень насыщенным с точки зрения законодательства по ПДн. Очень насыщенным...
Для тех, кому лень ждать официального опубликования и хочется поскорее узнать, что же написано в приказе, рекомендую посмотреть запись семинара RISSPA, который проводился в марте. Презентация до сих пор актуальна.
Мое мнение об этом приказе не изменилось ;-) Я считаю, что это один из лучших документов, которые выпускался не только ФСТЭК, но и всеми другими регуляторами по ИБ. Есть ли к нему претензии? Наверное есть. Вон Ригель целый пост недавно написал с критикой. Мол фермеры его не поймут. Увы... Квалификацию каждого фермера не учтешь. Планируемые документы ФСТЭК по моделированию угроз и по разъяснению содержания конкретных мер вместе с 21-м приказом должны составить неплохую триаду требований по защите персональных данных.
По сути, ФСТЭК в итоге вышла на те же нормы, что прописаны в Евроконвенции - оператор самостоятельно выбирает меры защиты исходя из актуальных угроз, особенной обработки ПДн, применяемых технологий и адекватности защиты наносимому ущербу. Да, хорошо бы, если бы эта идея была прописана сразу в ФЗ-152; тогда бы не пришлось городить огород с ПП-1119 и подзаконными актами. Но что есть, то есть. ФСТЭК работала в тех условиях и при тех исходных данных, которые были спущены сверху. Поменять ФЗ-152 или ПП-1119 ФСТЭК не в состоянии.
Ну и в заключение поста напомню, что за последнее время было принято еще несколько нормативных актов по части ПДн:
- приказ РКН "Об утверждении перечня иностранных государств,
- закон "О внесении изменений в некоторые законодательные акты РФ в связи с принятием ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных".
Так что этот год станет очень насыщенным с точки зрения законодательства по ПДн. Очень насыщенным...
Алексей, а когда нам ждать регистрацию приказа 17 о ГИС? А также Ваш вебинвр по этому приказу?
ОтветитьУдалитьПо 17-му приказу, думаю, тоже скоро - до конца мая
ОтветитьУдалитьСпасибо, ждём... Начали активную работу по приведению документов организации (администрация муниципального района) к требованиям 17-му приказа, и насколько я знаю группы требований (и собственно сами требования) значительно изменились от требований, изложенных в проекте 17-го приказа.
ОтветитьУдалитьАлексей, а откуда информация? Так как на сайте Минюста нет сведений о зарегистрированных НПА от ФСТЭК после Приказа 16 (http://minjust.consultant.ru/).
ОтветитьУдалитьАлексей, в какое обозримое будущее ожидать отраслевую модель угроз ПДн Банка России?
ОтветитьУдалитьAlexBarysh: из Минюста информация
ОтветитьУдалитьRobert: к осени, думаю
ОтветитьУдалитьА как определять тип угроз?
ОтветитьУдалитьВ приказе по этому поводу тишина. Или это будет в новой методике определения актуальности? Видел методику определения типов угроз от Минздравсоцразвития, которая одобрена ФСТЭК. Только это "костыли" какие-то. Что толку от 21 приказа (хотя мне он тоже понравился - навеяло "Общими критериями"), если тип угроз не понятно как определять? Хотя многие просто считают (а некоторые региональные органы исполнительной власти рекомендуют считать) все угрозы 3-го типа. Видимо будем как в Германии - 30 лет идти к нормальной защите ПДн.
Актуальность определяет оператор и только он. А ФСТЭК готовит методику по уже актуальным для вас угрозам
ОтветитьУдалитьС актуальностью понятно (и было понятно до этого). С типом не понятно, как его определить?
ОтветитьУдалитьИсходя из актуальности. Я считаю актуальным только 3-й тип
ОтветитьУдалитьАлексей, а для ГИС актуальность угроз также определяет оператор? И может ли оператор ГИС исключать угрозы и соответствующие требования по ЗИ, исходя из грамотно составленной модели угроз (неактуальности угроз) ?
ОтветитьУдалитьСогласно ПП 1119 от 01.11.2012:
ОтветитьУдалить"7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18 [1] Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных"."
Получается - какой тип хочу, такой и ставлю? А что за нормативные правовые акты имеются в виду? Пока их не видно.
Виталий, может
ОтветитьУдалитьЛеонид, именно так
ОтветитьУдалитьРегистрационный номер приказа ФСТЭК по ПДн в Минюсте №28375 от 14 мая 2013 г.
ОтветитьУдалитьАлексей, а не подскажите с какого числа данный документ вступает в силу?
ОтветитьУдалитьИ что делать с системами, которые были приведены в соответствие с ФЗ-152, до вступления в силу данного приказа?
Свершилось - http://minjust.consultant.ru/page.aspx?1045253
ОтветитьУдалитьБеда только в том, что отсутствие п.5 не смутило ни одного "утверждальщика" и "согласовальщика"!
Алексей, подскажите пожалуйста какую "процедуру оценки соответствия в установленном порядке" (п.4 Приказа) должен пройти, например, приобретаемый маршрутизатор Cisco, для выставления на периметре ИСПДн предприятия (не ГИС) в качестве МЭ. Сертификация, насколько я понял из документов (ПП 1119 и Приказ №21), а так же ваших презентаций и записи семинара, вовсе не обязательна, тогда что же. Контролирующие органы, бумажки требуют, дык что им показывать в случае проверки, если не сертификат(ы).
ОтветитьУдалитьСпасибо.
По ПДн вас никто не проверит, поэтому вопрос теоретический. А формы оценки (их 7) описаны в 184-ФЗ. Среди них есть ввод в эксплуатацию
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьАлексей, вот такой вопрос:
ОтветитьУдалитьПосле выхода 17го приказа для ГИС, в соответствующих гос. учреждениях смогут вообще не обращаться к №21?
Если да, то как это обосновать?
Или требования к классам в №17 полностью перекроют соответствующие требования для УЗ из №21?
Вообще требования 17-го перекрывают 21-й. Там плюсиков больше в таблице с мерами
ОтветитьУдалитьАлексей, судя по тому проекту Приказа №17, который удалось найти, не совсем перекрывает.
ОтветитьУдалитьЕсли взять УЗ-3 по №21 и К3 по №17 (для объектового масштаба в самый раз) и рассмотреть, например, требования для виртуальной среды, то по №21 есть "идентификация и аутентификация", "управление антивирусами в виртуальной среде" и "разбиение на сегменты", а по №17 в отличие от этого есть "резервное копирование и резервирование".
Т.е. требование ЗСВ.9 из 21го для УЗ-3 есть, а аналогичное требование ЗСВ.11 идет только для К1-К2.
Зато ЗСВ.8 из 21го для УЗ-3 нет, а аналогичное ЗСВ.9 для К3 из 17го есть.
Алексей, а как теперь строить модель угроз? ведь со вступлением в силу ПП 1119 и 21го приказа ФСТЭК "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 14 февраля 2008" теперь неактуальна?
ОтветитьУдалитьЭтот комментарий был удален автором.
ОтветитьУдалитьЕвгений, ну 100%-го сочетания УЗ из 21-го приказа и КЗ из 17-го трудно добиться
ОтветитьУдалитьНикита, пока стройте по ней. Любая методика использует два параметра - вероятность и ущерб. Так было, так будет
ОтветитьУдалитьАлексей, большое спасибо. нужно было для дипломной работы
ОтветитьУдалить