На мероприятии в Челябинске выступал с презентацией, в которой свел воедино ключевые изменения законодательства по ИБ и ПДн последнего времени и вкратце рассказал о том, что нас ждет в ближайший год-полтора.
Подписаться на:
Комментарии к сообщению (Atom)
14 коммент.:
Алексей, доброго дня!
Еще раз перечитал разъяснения по биометрии.
Т.е. получается компанию Apple, Samsung, и пр., кто испольует сканер отпечатка пальца, можно штрафовать, т.к. согласия письменного у субъекта на использвоание отпечатка для аутентификации они не получали?
Алексей, а когда уже наконец выйдет в свет порядок моделирования угроз безопасности...? Заждались.
пара вопросов, если позволите.
1. слайд 22, OpenSource. Если мы и так вляпываемся в КВ из-за реальности угрозы привлечения квалифицированного криптографа - чем нам тогда мешает OpenSource? Хуже уже не станет.
2. слайд 58. Чипы на картах. Да, такой пункт есть - но он один из многих других. Если банк не перестанет выпускать карты без EMV то ? практически уверен, у всех банков оценка по 382-П не равна 1. Ну станет оценка чуть хуже - опять же, можно вытянуть за счет другой оценки.
Или у Вас есть информация, что конкретно это пункт будет оцениваться как-то отдельно?
Добрый день, Алексей!
Слайд №21. Всё таки не совсем понятно, почему именно ФСБ ограничил применение СКЗИ для защиты ПДн не ниже КС3. Это только потому, что мы можем считать (опять же - на основе модели нарушителя которую сами делали?), что нарушитель может получить доступ к СВТ? Дальше больше - слайд №22. Там вообще речь идёт про КВ и КА. Эти выводы делаются на основе модели нарушителя, которую делаем сами, или ФСБ жёстко регламентирует такие требования? Не совсем понятно, поясните пожалуйста.
В слайдах 21 и 22 Алексей написано верно, но ориентироваться надо на требования к классам СКЗИ относительно УЗ. А там все нормально от КС1 и выше при 3-ем типе угроз. Стращает нас автор )))))
Алексей, хотела возразить по поводу слайда 24 (приказ ФСБ).
В утвержденной версии Приказа №378 эти страшные требования были смягчены.
Для 4УЗ они теперь звучат так:
а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;
И для 1 УЗ:
а) оборудовать окна Помещений, расположенные на первых и (или) последних этажах зданий, а также окна Помещений, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в Помещения посторонних лиц, металлическими решетками или ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;
б) оборудовать окна и двери Помещений, в которых размещены серверы информационной системы, металлическими решетками, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения.
Опечатывание сейфов, же согласно Приказу, может компенсироваться наличием кодовых замков.
А что касается разъяснений РКН, то вспомнить их тоже было полезно.
В частности, возник следующий вопрос. Записи системы видеонаблюдения не являются биометрическими ПДн, если не используются оператором для установления личности того, кто на них записан. Но являются ли они в тоже время просто ПДн и попадают ли под действие закона №152-ФЗ? Т.е. есть ли необходимость включать их в перечень ПДн (в том числе в уведомление в РКН), устанавливать цели их обработки,обосновывать наличие правового основания обработки (согласие посетителя, работника)?
Илья: хороший вопрос :-)
Игорь: скоро, уже идет вычитка
Максим: квалифицированный криптограф - это КВ, а opensource - это КА
xenobius: я исхожу из реалий моделирования угроз. Разумеется, на практике все забьют болт, в очередной раз превратив ИБ в профанацию, чего ФСБ и добивается
stan99: читать надо весь приказ целиком, а не только привязку к УЗ. ФСБ вообзе наплевать на УЗ, они исторически привязывались только к модели нарушителя
Lubov: а чем смягчили?
Запись видеонаблюдения сами по себе не содержат ПДн в большинстве случаев
Алексей, смягчили, потому что ежедневное опечатывание помещений и сейфов, как правило, пугает больше, чем использование охранной сигнализации, которая у большинства компаний уже есть.
Другое дело, что чаще используются объемные датчики, нежели датчики сигнализации на дверях и окнах. Кстати, интересно, допускает ли ФСБ такой вариант или будет жестко требовать оборудования сигнализацией именно окон и дверей...
Так опечатывание помещений осталось
Почему, там же или стоит:
"опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений"
А если openspace?
Оупенспейс еще не самое страшное, ну будет одно большое помещение, хуже, если реализован удаленный доступ к ИСПДн с мобильных устройств. Тут шифрование требуется обязательно, причем как канала, так и информации на самом устройстве, а данные требования выполнить возможным не представляется.
Шифрование не является обязательным
Отправить комментарий