Выступая в последнее время на разных региональных мероприятиях, где среди прочего рассказываю и о 17/21-м приказах ФСТЭК регулярно слышу две кардинально противоположные точки зрения об этих документах. Первая высказывается представителями крупного бизнеса, которые теперь получили возможность самостоятельно выбирать защитные меры, исходя из особенностей своей информационной системы и принятой или принимаемой модели угроз. Вторая высказывается малым бизнесом и некоторыми интеграторами, которые теперь вынуждены что-то придумывать, а не ориентироваться на жесткий перечень мер, как это было в первом четверокнижии или 58-м приказе ФСТЭК.
Как можно заметит, обе эти точки зрения касаются одного и того же свойства документов ФСТЭК - их гибкости. То, что для одних преимущество, для других беда. Оно и понятно. Крупный бизнес, первым попавшим в прицел проверок регуляторов, первым и натолкнулся на сложности с реализацией жестко прописанных требований по защите персональных данных. И, как не парадоксально, именно представители крупного бизнеса входили в рабочую группу ФСТЭК, занимавшуюся экспертизой и доработкой 21-го приказа, а затем и методички по мерам защиты. Вполне очевидно, что для крупного бизнеса появившаяся гибкость является благом, т.к. в полной мере позволяет учесть все особенности своих процессов обработки ПДн с точки зрения защиты.
А вот малый бизнес, до недавнего времени и вовсе не занимавшийся защитой персональных данных и ограничивающийся только выполнением требований Роскомнадзора, теперь столкнулся с непростой задачей. Если раньше, худо-бедно, но можно было реализовать закрытый перечень требований 58-го приказа и считать, что все нормально, то сейчас ситуация иная. Закрытого перечня просто нет. И малый бизнес, турагенства и фермеры, о которых в свое время писал Ригель, просто не знают, с какого бока подойти к решению задачи. Раньше они почти не занимались защитой, а сейчас им приходится решать несвойственные малому бизнесу задачи. А у них и специалистов-то нет :-(
Сложность восприятия, о которой я писал два месяца назад... Правда, пока оперативного решения со стороны регулятора, который мог бы взять и написать свои "Top20 защитных мер для малого бизнеса", я не предвижу. У ФСТЭК есть более оперативные и важные задачи. Остается надежда только на региональных интеграторов, которые смогут пакетировать 21-й приказ (да и 17-й для муниципалов и малых госов) в зависимости от типовой модели угроз и типового набора средств их нейтрализации. А может быть и онлайн-сервисы смогут эту задачу решить. Например, "Решебник" от уральского ЦентрИнформа. Тогда к пакету документов можно будет получить сразу и рекомендации по средствам защиты. Было бы удобно.
11 коммент.:
Все верно
нормативка должна быть гибкой, для больших нужен повар, для малых комплексные обеды...
Не вижу никакой проблемы чтобы при всей гибкости разрабатывать типовые решения для типовых операторов. При этом типовые решения будут стоить дешево.
Да, крупным интеграторам это не выгодно. Тем лучше для малых которые могут возникнуть или перейти в эту нишу.
В том же екатеринбурге скб-контур обещал штамповать типовые пакеты защиты для всех пользователей контур-экстерна.
Опять же есть онлайн-сервисы типа https://www.docshell.ru/ и http://152pro.ru/
Купил за копеечку, сам всё заполнил, получил шаблоны документов и шаблонные решения.
Пока мало кто из онлайн-сервисов перешел на новые приказы ФСТЭК
Чтобы разработать типовое решение, нужно на одном проекте его нормально отработать, а это 4-6 месяцев. Плюс на первую продажу именно по новым требованиям ещё месяца 2 заложим.
Итого в августе стоит ждать нормальных, отработанных шаблонных предложений.
Подождем
Для меня все онлайн сервисы абсурдны. Невозможно сделать шаблон по защите пдн, потому что у каждого своя ситуация. Сейчас малые и средние операторы не в состоянии даже цели обработки определить. О каких готовых решениях может идти речь? Очень часто бывает, когда приходишь на предприятие, а они с умным видом-не знаю что вы приперлись, мы все сделали! И тут выясняется-по их мнению, испдн у них только в бухгалтерии, а про еще 3 они даже и не подумали. Или мое любимое- а разве 152 закон не только для отдела кадров?
Для меня все клиенты онлайн сервисов-жертвы развода. Его суть в том, что РКН не уделяет докам большого внимания. Ркн смотрит правовую основу обработки. А с этой задачей онлайн сервис априори не может справиться.
Вам легко говорить, вы специалисты. А 90% не понимают элементарных вещей. Что уж говорить о сложных элементах закона.
Я думаю что эти сервисы умрут когда поднимут штрафы.
И вобще не понятно, наИг они нужны, если все доки ест ьв инете абсолютно бесплатно...
Вряд ли "гибкий" подход к защите информации принципиально сложнее "жесткого". Как это было и раньше, практика наработает варианты решения "типовых" задач для ИСПДн и для ГИС, которых и будет придерживаться большинство операторов (а так же и интеграторов, которые часто предпочитают именно шаблонный подход).
Для мелких операторов ("патологоанатомов") есть лицензиаты ФСТЭК, более солидные будут решать свои проблемы сами.
Сложнее будет с моделированием угроз: пока даже сама ФСТЭК не смогла написать давно обещанную методичку. Что тогда говорить о рядовых операторах?
Методика написана - скоро выложат на обсуждение
Отправить комментарий