День сурка или новые документы ФСТЭК

Фев 02

Персональные данные Добавить комментарий

По интернету проходит волна обсуждения нового документа ФСТЭК. Называется сей шедевр Положение о методах и способах защиты информации в информационных системах персональных данных (с сайта ФСТЭК документ удалили, теперь скачать можно тут). Лично мне он не показался особо интересным, но раз пошло обсуждение, решил присоединиться.

Значение данного документа сильно преувеличивается. Он не может стать заменой Четырехкнижия, т.к. суть его совсем в ином.

Данный документ лишь указывает на методы и способы защиты информации и разделяет их в зависимости от класса и характеристик ИСПДн. Конечно, в документе появляются уточнения и поправки, например:

Чаще появляются оргмеры, вместо технической защиты;
Устраняется фактическое требование проводить контроль отсутствия НДВ для 2 и 3 классов ИСПДн;
И т.д.

Но все это капля в море. Также в документах фактически исключается использование современных технологий обработки.

Другими словами, вместо радикальной переработки Четырехкнижия, мы получили Пятикнижие.

10126 . 3884

Другие записи

Автор Царев Евгений | Метки: безопасность персональных данных, Заблуждения, Законодательство, защита персональных данных, ИСПДн, Классификация ИСПДн, Коллеги, Консультация, Новость, система персональных данных, Требования, ФСТЭК

20 Responses to “День сурка или новые документы ФСТЭК”

1. Евгений Родыгин Says:
февраля 2, 2010 at 18:31
“Лично мне он не показался особо интересным”…

Интересно, что же тогда должно произойти, чтобы тебя заинтересовать !!!

[Ответить]
Царев Евгений Reply:
февраля 2, 2010 at 21:00
Если вынесут обсуждение “Основных мероприятий… ” на публичное обсуждение, то заинтересуюсь)))

[Ответить]
toparenko Reply:
февраля 3, 2010 at 10:28
Весьма похоже, что опубликование данного проекта и есть попытка публичного обсуждения “Основных мероприятий”:
- данный проект изменяет только требования, озвученные в “Основных мероприятиях”
- в п.3.1 проекта идет ссылка на документы в соответствии с ПП781 – под чем можно понимать остальные 3 книги из 4-х книжия

[Ответить]
2. SD Says:
февраля 2, 2010 at 19:40
“Он не может стать заменой Четырехкнижия, т.к. суть его совсем в ином”.

Я бы обратил внимание на 1) наименование документана 2) тот факт, что документ разработан в соответсвии с п.3 781-ПП. – т.е по формальным признакам, это то, что и должно было бы быть с самого начала.

Откуда, вообще, взялось, что “Четерехкнижие” имеет какое-то отношение к 152-ФЗ?

Не может быть заменой – потому что суть другая? Это Вы круто высказались.

[Ответить]
Царев Евгений Reply:
февраля 2, 2010 at 21:03
Ну это вы зря.
“Откуда, вообще, взялось, что “Четерехкнижие” имеет какое-то отношение к 152-ФЗ? ” – откройте документы http://www.fstec.ru/_razd/_ispo.htm , там в основных положениях идет ссылка на 781ПП

[Ответить]
3. SD Says:
февраля 2, 2010 at 21:55
Ну допустим, примем с некоторой условностью (ни в 781ПП, ни в 152-ФЗ не нашел упоминая о том, что должны быть разработаны, например, “Рекомендации…”, не говоря уж об остальных 3-х)
Да и в проекте – ссылка лучше: с точностью до пункта. Т.е. конкретная и не аморфная в части воззвания к 152-ФЗ. Но это так, к слову, не обращайте внимания.

А что же по существу?
“Он не может стать заменой Четырехкнижия, т.к. суть его совсем в ином”. Вы полагаете, что сути вечны и изменить их невозможно путем декларирования новой сути?

[Ответить]
Царев Евгений Reply:
февраля 2, 2010 at 22:51
Философия)))
Просто “Положение”, очень хорошо дополняет другие 4 документа, но не заменяет.
Хотя, конечно, я могу ошибаться.

[Ответить]
4. anonymous Says:
февраля 2, 2010 at 23:54
Дополняет – это врядли.

[Ответить]
5. SD Says:
февраля 3, 2010 at 0:09
Дополняет? Вряд ли кто-то ощутит себя обездоленным, лишившись 4-х-книжия.

P.S.
“В каждом яде есть суть, в каждой чаше есть яд;
От напитка такого поэты не спят,
Издыхая от недосыпанья.”

Про нас про всех?

[Ответить]
6. kreol Says:
февраля 3, 2010 at 12:02
Т.к. четырехкнижие юридически введено совсем криво, то с утверждением нового документа мы получаем скорее двухкнижие – собственно это Положение и Модель угроз.

[Ответить]
7. Ulia Says:
февраля 4, 2010 at 13:58
Добрый день, Евгений!

Простите, что вмешиваюсь с оффтопом, но во-первых, хочу поблагодарить за такое подробное и последовательное освещение темы 152-ФЗ, во-вторых, задать вопрос.
Прочитала доклад Гришанкова, где он констатирует, что закон массово не исполняется. Прочитала ответ на вопрос “Какая ответственность предусмотрена за нарушения оператором требований Федерального закона «О персональных данных»?” на Портале rsoc.ru.
В случае неисполнения самой трудоемкой части закона – то есть выполнения установленного порядка сбора и тд. информации, речь идет в худшем случае о 10 тыс. рублей штрафа для юридической организации. Ничего удивительно, что мало кто “почесался”. И не почешутся – реорганизация работы информационных систем обойдется в десятки (сотни) тысяч дороже.

Или я чего-то не понимаю?
Чувствую подвох))

[Ответить]
Майя Ольшанская Reply:
февраля 4, 2010 at 15:22
Штраф не приходит один Предписание на устранение нарушений. Если не выполнены предписания, то там еще штрафы, потом остановка на 90 дней обработки ПДн.

Вообще вы правы, что штрафы мелкие, но мелкие только те штрафы, которые касаются Роскомнадзора, что же касается ФСТЭКа: статья 19.5 КОАП:
“Невыполнение в установленный срок законного предписания, решения органа, уполномоченного в области экспортного контроля, его территориального органа – влечет наложение административного штрафа на должностных лиц в размере от пяти тысяч до десяти тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц – от двухсот тысяч до пятисот тысяч рублей”

Так что всё еще впереди.

[Ответить]
TVA Reply:
февраля 4, 2010 at 18:12
Попробуйте приостановить деятельность районной поликлиники, обслуживающую бабушек и колхозников. У них денег на пипетки нет. Или частную клинику, учредителем которой является депутат Госдумы и друг губернатора?! Каково?

[Ответить]
Ulia Reply:
февраля 4, 2010 at 22:14
Ммм, принцип действия понятен, спасибо большое за разъяснение.

[Ответить]
Царев Евгений Reply:
февраля 6, 2010 at 20:18
На самом деле если делать ответственность серьезной, то нужно обеспечить возможность исполнения. С этим сейчас проблема. Например, возьмем любую муниципальную клинику, нескольких миллионов на систему защиты персональных данных у них нет. С чиновника нельзя спрашивать исполнения чего-то если предварительно не дать деньги. Что логично. Растворять внутри экономики огромные деньги на исполнение избыточных требований нельзя. Вот и находимся мы сейчас между двух зол. Либо тратить большие деньги на неэффективную систему и контролировать ее работу, либо продолжать дорабатывать нормативную базу. Объективно правильным будет второй вариант.

[Ответить]
8. Александр Says:
февраля 9, 2010 at 12:45
Проект нового документа ФСТЭК, это далеко не день сурка. Лично я был очень удивлён, теми либеральными вещами, которые в нём были приведены. Если изначально ФСТЭК для ПДн нарисовал требования круче, чем на гостайну. То в новом документе наоборот, убрали всё, что только можно. Посудите сами:
1. Наконец то, в явном виде прописали, что оператору ПДн достаточно договора с компанией, обладающей лицензией на техническую защиту ПДн (не надо получать эту лицензию самому оператору);
2. Убрали требование проверок на отсутствие НДВ для СЗИ (оставили только для К1);
3. Убрали требование к наличию систем обнаружения вторжений и анализа уязвимостей (оставили только для ИСПДн подключенных к интернету).

По сути, в соответствии с этим документом, для технической защиты ПДн достаточно только СЗИ (кроме случаем подключения к интернету). При этом учитывая отсутствие требования к проверкам на НДВ, перечень СЗИ расширяется.

Кстати, проект документа с сайта ФСТЭК уже пропал, так что не понятно, толи его переносят в раздел принятых документов, толи решили похоронить (уж больно много в нём послаблений).

[Ответить]
Царев Евгений Reply:
февраля 9, 2010 at 15:34
Почему вы решили, что там есть послабления? Разве приказ об утверждении отменял четверокнижие. А раз так, все предыдущие документы работают. Где послабления?

[Ответить]
Александр Reply:
февраля 9, 2010 at 16:53
Документа пока как такового не существует, есть только проект приложения. И этот проект в его сегодняшнем виде противоречит пресловутому четверокнижью. Когда я говорил о послаблении, то имел ввиду что в данном конкретном документе прописаны более либеральные требования. Как это противоречие будет разрешено не известно. Возможно в сторону корректировки предыдущих документов, хотя я не думаю что это так. Скорее будет изменено приложение. В пользу этого как мне кажется говорит его исчезновение с сайта ФСТЭК. Хотя всё может быть, поживём увидим.

[Ответить]
Царев Евгений Reply:
февраля 10, 2010 at 11:29
По поступившей недавно информации, у ФСТЭК далеко идущие планы на «Положение…». Вполне может быть, что документ пройдет все формальные процедуры и станет обязательным без вопросов. Пока рано делать выводы, но все идет к этому
9. Андрей Власов Says:
марта 2, 2010 at 18:10
Вот забавное несоответствие или неточная формулировка в новом Приказе:
гл2. ст2.1
“Методами и способами защиты информации от несанкционированного доступа являются:
….
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия
…”

И ниже идет:
гл2. ст2.12
“Программное обеспечение средств защиты информации, применяемых в информационных системах 1 класса, проходит контроль отсутствия недекларированных возможностей.
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).”

Что же тут имеется ввиду по фразой “прошедших в установленном порядке процедуру оценки соответствия ” … если оценка соответствия это декларация\аттестация, это понятно…но почему средства, а не система.

А если же это про сертификацию средств, то как понимать.. должны или могут…?
Как думаете?

[Ответить]