Комментарии на: День сурка или новые документы ФСТЭК http://www.tsarev.biz/?p=1255 Персональные данные, Информационная безопасность и ИТ-инновации Wed, 08 Sep 2010 13:39:40 +0000 http://wordpress.org/?v=2.9.2 hourly 1 От: Андрей Власов http://www.tsarev.biz/?p=1255&cpage=1#comment-12478 Андрей Власов Tue, 02 Mar 2010 14:10:12 +0000 http://www.tsarev.biz/?p=1255#comment-12478 Вот забавное несоответствие или неточная формулировка в новом Приказе: гл2. ст2.1 "Методами и способами защиты информации от несанкционированного доступа являются: .... использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия ..." И ниже идет: гл2. ст2.12 "Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей. Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом)." Что же тут имеется ввиду по фразой "прошедших в установленном порядке процедуру оценки соответствия " ... если оценка соответствия это декларация\аттестация, это понятно...но почему средства, а не система. А если же это про сертификацию средств, то как понимать.. должны или могут...? Как думаете? Вот забавное несоответствие или неточная формулировка в новом Приказе:
гл2. ст2.1
“Методами и способами защиты информации от несанкционированного доступа являются:
….
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия
…”

И ниже идет:
гл2. ст2.12
“Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).”

Что же тут имеется ввиду по фразой “прошедших в установленном порядке процедуру оценки соответствия ” … если оценка соответствия это декларация\аттестация, это понятно…но почему средства, а не система.

А если же это про сертификацию средств, то как понимать.. должны или могут…?
Как думаете?

]]> От: Царев Евгений http://www.tsarev.biz/?p=1255&cpage=1#comment-12273 Царев Евгений Wed, 10 Feb 2010 07:29:35 +0000 http://www.tsarev.biz/?p=1255#comment-12273 По поступившей недавно информации, у ФСТЭК далеко идущие планы на «Положение…». Вполне может быть, что документ пройдет все формальные процедуры и станет обязательным без вопросов. Пока рано делать выводы, но все идет к этому По поступившей недавно информации, у ФСТЭК далеко идущие планы на «Положение…». Вполне может быть, что документ пройдет все формальные процедуры и станет обязательным без вопросов. Пока рано делать выводы, но все идет к этому

]]> От: Александр http://www.tsarev.biz/?p=1255&cpage=1#comment-12263 Александр Tue, 09 Feb 2010 12:53:31 +0000 http://www.tsarev.biz/?p=1255#comment-12263 Документа пока как такового не существует, есть только проект приложения. И этот проект в его сегодняшнем виде противоречит пресловутому четверокнижью. Когда я говорил о послаблении, то имел ввиду что в данном конкретном документе прописаны более либеральные требования. Как это противоречие будет разрешено не известно. Возможно в сторону корректировки предыдущих документов, хотя я не думаю что это так. Скорее будет изменено приложение. В пользу этого как мне кажется говорит его исчезновение с сайта ФСТЭК. Хотя всё может быть, поживём увидим. Документа пока как такового не существует, есть только проект приложения. И этот проект в его сегодняшнем виде противоречит пресловутому четверокнижью. Когда я говорил о послаблении, то имел ввиду что в данном конкретном документе прописаны более либеральные требования. Как это противоречие будет разрешено не известно. Возможно в сторону корректировки предыдущих документов, хотя я не думаю что это так. Скорее будет изменено приложение. В пользу этого как мне кажется говорит его исчезновение с сайта ФСТЭК. Хотя всё может быть, поживём увидим.

]]> От: Царев Евгений http://www.tsarev.biz/?p=1255&cpage=1#comment-12260 Царев Евгений Tue, 09 Feb 2010 11:34:53 +0000 http://www.tsarev.biz/?p=1255#comment-12260 Почему вы решили, что там есть послабления? Разве приказ об утверждении отменял четверокнижие. А раз так, все предыдущие документы работают. Где послабления? Почему вы решили, что там есть послабления? Разве приказ об утверждении отменял четверокнижие. А раз так, все предыдущие документы работают. Где послабления?

]]> От: Александр http://www.tsarev.biz/?p=1255&cpage=1#comment-12259 Александр Tue, 09 Feb 2010 08:45:54 +0000 http://www.tsarev.biz/?p=1255#comment-12259 Проект нового документа ФСТЭК, это далеко не день сурка. Лично я был очень удивлён, теми либеральными вещами, которые в нём были приведены. Если изначально ФСТЭК для ПДн нарисовал требования круче, чем на гостайну. То в новом документе наоборот, убрали всё, что только можно. Посудите сами: 1. Наконец то, в явном виде прописали, что оператору ПДн достаточно договора с компанией, обладающей лицензией на техническую защиту ПДн (не надо получать эту лицензию самому оператору); 2. Убрали требование проверок на отсутствие НДВ для СЗИ (оставили только для К1); 3. Убрали требование к наличию систем обнаружения вторжений и анализа уязвимостей (оставили только для ИСПДн подключенных к интернету). По сути, в соответствии с этим документом, для технической защиты ПДн достаточно только СЗИ (кроме случаем подключения к интернету). При этом учитывая отсутствие требования к проверкам на НДВ, перечень СЗИ расширяется. Кстати, проект документа с сайта ФСТЭК уже пропал, так что не понятно, толи его переносят в раздел принятых документов, толи решили похоронить (уж больно много в нём послаблений). Проект нового документа ФСТЭК, это далеко не день сурка. Лично я был очень удивлён, теми либеральными вещами, которые в нём были приведены. Если изначально ФСТЭК для ПДн нарисовал требования круче, чем на гостайну. То в новом документе наоборот, убрали всё, что только можно. Посудите сами:
1. Наконец то, в явном виде прописали, что оператору ПДн достаточно договора с компанией, обладающей лицензией на техническую защиту ПДн (не надо получать эту лицензию самому оператору);
2. Убрали требование проверок на отсутствие НДВ для СЗИ (оставили только для К1);
3. Убрали требование к наличию систем обнаружения вторжений и анализа уязвимостей (оставили только для ИСПДн подключенных к интернету).

По сути, в соответствии с этим документом, для технической защиты ПДн достаточно только СЗИ (кроме случаем подключения к интернету). При этом учитывая отсутствие требования к проверкам на НДВ, перечень СЗИ расширяется.

Кстати, проект документа с сайта ФСТЭК уже пропал, так что не понятно, толи его переносят в раздел принятых документов, толи решили похоронить (уж больно много в нём послаблений).

]]> От: Царев Евгений http://www.tsarev.biz/?p=1255&cpage=1#comment-12226 Царев Евгений Sat, 06 Feb 2010 16:18:47 +0000 http://www.tsarev.biz/?p=1255#comment-12226 На самом деле если делать ответственность серьезной, то нужно обеспечить возможность исполнения. С этим сейчас проблема. Например, возьмем любую муниципальную клинику, нескольких миллионов на систему защиты персональных данных у них нет. С чиновника нельзя спрашивать исполнения чего-то если предварительно не дать деньги. Что логично. Растворять внутри экономики огромные деньги на исполнение избыточных требований нельзя. Вот и находимся мы сейчас между двух зол. Либо тратить большие деньги на неэффективную систему и контролировать ее работу, либо продолжать дорабатывать нормативную базу. Объективно правильным будет второй вариант. На самом деле если делать ответственность серьезной, то нужно обеспечить возможность исполнения. С этим сейчас проблема. Например, возьмем любую муниципальную клинику, нескольких миллионов на систему защиты персональных данных у них нет. С чиновника нельзя спрашивать исполнения чего-то если предварительно не дать деньги. Что логично. Растворять внутри экономики огромные деньги на исполнение избыточных требований нельзя. Вот и находимся мы сейчас между двух зол. Либо тратить большие деньги на неэффективную систему и контролировать ее работу, либо продолжать дорабатывать нормативную базу. Объективно правильным будет второй вариант.

]]> От: Ulia http://www.tsarev.biz/?p=1255&cpage=1#comment-12212 Ulia Thu, 04 Feb 2010 18:14:25 +0000 http://www.tsarev.biz/?p=1255#comment-12212 Ммм, принцип действия понятен, спасибо большое за разъяснение. Ммм, принцип действия понятен, спасибо большое за разъяснение.

]]>