мая 25

Подсистемы по версии ФСТЭК. 3) Подсистема обнаружения атак

Персональные данные 10 Коммент. »

voprosВ реестре можем обнаружить следующие изделия:

Комплекс «Аргус»

Stonegate IPS

WS-SVC-IDSM-2

Cisco IPS 4200

Что касается документов ФСТЭК, то здесь большие проблемы:

Новые подсистемы традиционно с трудом вписываются в рамки существующих руководящих документов ФСТЭК. Требований к подсистеме обнаружения атак очень мало, может произойти так, что несколько разных функционально систем могут удовлетворять данным требованиям. При этом, знакомая миру Cisco IPS 4200, согласно существующему сертификату, применяться может, но она не покрывает подсистему обнаружения атак полностью (нет сертификата на НДВ). Получается, что убедить регулятора в преимуществах Cisco IPS 4200 перед Комплексом «Аргус» может быть проблематично.

Вот так…

Одним словом, загадочная подсистема ;-) .

Post to Twitter

11409 . 4187

Другие записи

Автор: Царев Евгений | Метки: , , ,

Апр 20

Проверка ФСТЭК или аудит с молотком

Проверки регуляторов 16 Коммент. »

fstekСегодня читал очередной знаковый документ – Предписание ФСТЭК об устранении нарушений в области защиты информации. Постараюсь донести суть документа:

Прошла проверка одного из региональных гос.учреждений на «организацию и состояние работ по обеспечению безопасности персональных данных».

Выявленные нарушения:

1) Средства защиты информации, применяемые в информационных системах, не прошли в установленном порядке процедуру оценки соответствия (п.5 Постановления правительства №781).

2) Не выполнены ряд мероприятий по тому же постановлению (п.п.2, 6, 12, 14)

3) Не приняты меры направленные на обеспечение конфиденциальности при вводе персональных данных в информационные системы (п.1 ст.7 Федерального закона № 152)

Далее предписывается:

1) В течение месяца предоставить на согласование во ФСТЭК «План устранения недостатков»

2) Провести организационно-технические мероприятия по приведению работ по обеспечению безопасности персональных данных, в соответствие Федеральному закону №149, Федеральному закону №152, Постановлению правительства №781, а также требованиям СТР-К. (о Четверокнижии ни слова!)

Далее идет ссылка на то, что невыполнение предписания в соответствии с п.1 ст.19.5 КоАП РФ (напишу дословно) «влечет наложение административного штрафа на должностных лиц – от 1 до 2 тысяч рублей или дисквалификацию на срок до 3 лет, на юридических лиц – от десяти до двадцати тысяч рублей».

Как видно, тренировка у наших регуляторов в полном разгаре, все тренируются – Роскомнадзор, ФСТЭК, не удивлюсь, если увижу проверку от ФСБ. Закрутилось, завертелось. Кстати, проверка датируется декабрем прошлого года, за это время, уверен, «настрогали» еще целую кучу проверок, просто их не афишируют. А кто-то помниться говорил о дне «Х» (1 января 2010)….

Post to Twitter

10077 . 4137

Другие записи

Автор: Царев Евгений | Метки: , , , , ,

марта 16

“Мы не обязаны соблюдать требования ФСТЭК по защите персональных данных” верно ли утверждение?

Персональные данные 1 Комментарий »

Много шума наделала статья Миф №21 “Мы обязаны соблюдать требования ФСТЭК по защите персональных данных” , с утверждением о необязательности выполнения требований руководящих документов ФСТЭК. Безусловно, очень интересная работа, раньше такими вопросами как-то не задавались. Статья вдохновила, и хотелось бы продолжить ее своим очерком (высказать свое мнение по данному вопросу).

Начнем с верхов: единственная возможность не исполнять требования РД – суд, в рамках которого вами должно быть доказано, что юридической силы документ не имеет, вследствие чего, требования по его исполнению неправомерны. Получить решение суда и показывать бумажку случайно забредшим сотрудникам ФСТЭК. До этого момента все наше желание отказаться от исполнения остается всего лишь желанием (штрафовать и проверять нас будут с особым размахом, причем не только ФСТЭК). Есть ли прецеденты таких судов? Если кто-то в курсе сообщите. А если таких процессов не было, сомневаюсь, что у заявителя будет шанс.

Как бы мне хотелось сказать своим клиентам: «Плюньте вы на эти РД. Давайте мы вам сделаем НОРМАЛЬНУЮ систему защиты персональных данных!». Ан нет, мы еще с головой дружим, ведь ФСТЭК далеко не единственный регулятор которому с 1 января 2010 года все станут «должны». Тут тебе и Роскомнадзор, и ФСБ (не говоря про УБЭП, СВР, которым очень нравится ФЗ №152).

Коллеги, давайте посмотрим на вещи критично – документы есть и их нужно соблюдать. Не нужно соблюдать все требования подряд – это практически нереально, а вот «принцип разумной достаточности» никто не отменял.

Взглянув на практику работы регуляторов это далеко не единственный случай формального несоблюдения процедур. Кто занимался защитой конфиденциалки раньше, должен знать, что такой документ как СТР-К также не проходил согласование в Минюсте, при этом никому даже в голову не приходило отказаться от соблюдения его требований.

Поэтому, коллеги, давайте будем дружить с нашими регуляторами, тем более что у них теперь есть ВСЕ инструменты уничтожать бизнес и нас с вами.

Post to Twitter

6485 . 2557

Другие записи

Автор: Царев Евгений | Метки: , , , , ,