В очередной раз, столкнувшись с результатом жизнедеятельности одной из контор под громким названием "консалтинговая компания" не могу молчать: "в зоопарке тигру не докладывают мяса" ну не бывает ИСПДн обрабатывающих историю болезни классом К-4. Ну, ни как, ни бывает, даже если очень хочется, даже если начальник сказал.
Не бывает по нескольким причинам.
Во-первых как говорит приказ "трех" в п.8:
"К специальным информационным системам должны быть отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных…"
Во-вторых: как не старайся, специальная категория персональных данных не может обрабатываться в системах К-4.
В-третьих: если внимательно вчитаться в ст.5 п.6 новой редакции Закона о персональных данных, можно обратить внимание, что с 27 июля типовых информационных систем у нас не осталось.
Таким образом, получается, что люди пишущие в официальных отчетах датированных августом 2011 года слова аналогичные: "исходя из анализа структуры данных информационной сети предприятия (обезличенная форма записи результатов приема пациента специалистом), а так же наличия согласие пациента признать свои персональные данные общедоступными исследуемая системе относится к классу К-4" .
К сожалению, ответственность за такого рода работу "специалистов" не просматривается, тем более что консалтинг вроде как под лицензирование ТЗКИ, а тем более криптуху не попадает…
Более того, у нас вообще больше не осталось классов ИСПДн, т.к. на настоящий момент исполнение подзаконников выпущенных под старую редакцию ЗоПД не обеспечивает исполнения требований новой редакции Закона.
ОтветитьУдалитьКлассификация ИСПДн по приказу трех для исполнения законодательства о ПДн вообще лишена смысла. Из под приказа трех выбили правовую основу или, если хотите, табуретку;)
Именно об этом и говорит ст.5 п.6
ОтветитьУдалитьРуслан, а зачеркнутое про тигров и "не могу молчать" здесь к чему? Вы хотели сослаться на мой сегодняшний пост? Так сошлитесь!
ОтветитьУдалитьИ насчет "у нас тет подзаконных актов". Постановление Правительства может отменить только Правительство. Или о прекращении его действия должно быть прямо указано в законе. Этого нет. Так что ПП-781 действует, пока его не отменят и не будут приняты новые документы.
ОтветитьУдалитьДействует, де-юре, конечно, действует, только не нужно забывать (замалчивать) тот факт, что за его так называемое "нарушение" или "неисполнение" не установлено никакой ответственности.
ОтветитьУдалитьА если отойти от обсуждения буквы закона, то исполнение этого документа даже с прицелом на будущую нормативку, не целесообразно, так как была полностью перекроена сама модель госрегулирования в этой области.
Руслану:
ОтветитьУдалитьч. 6 статьи 5 говорит только о принципе обработки, я же подчеркнул, что сама по себе классификация по приказу трех бессмысленна. Нет ни типовых, ни специальных, вообще никаких.
2 Емельянников: Спасибо за внимание. ;) Теперь по ссылкам: я опубликовал свой пост в 1 час ночи по Новосибирску (GMT+7), в то время я Вашего поста не видел и ссылаться не мог. Мне тоже нравится этот монолог Хазанова. Это просто совпадение. Маня сподвиг на написание очередной перл очередного консультанта без лицензии. Кстати Ваше сообщение было для меня весьма интересно.
ОтветитьУдалитьПостановление правительства, конечно же не отменено, но классы устанавливает "приказ трех" и прямое чтение новой редакции закона переводит все системы в специальные со всеми вытекающими. Согласно того же закона модель угроз теперь делается на уровне властей (Правительство и федеральные органы) так что, я как практик сейчас не знаю на основании чего строить систему, т.к. без модели угроз я что-то обоснованное сделать не могу. Именно это я имел ввиду говоря "у нас тет подзаконных актов". Буду признателен, если укажите на мои ошибки, т.к. сам не юрист.
Это ж надо, такое единодушие и единовкусие! Да еще в одно время! :-)
ОтветитьУдалитьОшибок никаких нет, просто пока не появятся новые подзаконные акты, руководствоваться придется действующими, как бы к этому не относится. Это одна из проблем моего обновленного ученого курса.
Что такое уровни защищенности - пока только авторам известно. О специальных я бы пока поговорить поостерегся - раньше все системы тоже были специальными, если внимательно почитать ч.1 ст.19 в предыдущей редакции и обязанности оператора. Это тема была предметом бесконечных споров.
А с моделью, ИМХО, ничего не изменится. Базовая ФСТЭК + особенности ФСБ - все так и будет.
Ну, а дальше - будем посмотреть
Просто вы нарушаете последовательность процесса правовой оценки. Соответствие закону оценивается гораздо раньше, чем соответствие приказу трех.
ОтветитьУдалитьНельзя говорить, что закон переводит системы в специальные: сначала закон де-факто лишил силы подзаконники, по которым раньше можно было классифицировать ИСПДн, а уже потом ... а потом нам пока нечего сказать. Вы же сначала оцениваете по лишившемуся правовой основы подзаконнику, а уже потом применяете положение закона.
Практикам сейчас действительно сложно... Благо, мы успели закрыть последний проект еще в июне...
2 Емельянников: Я своих заказчиков поставил в ожидание, руководствуясь именно этой логикой новой редакции. Соответственно пока из рекомендаций, учитывая ожидаемое незначительное изменение моделей угроз и непонятное состояние по уровням защиты, писать бумаги и закупаться СЗИ от НСД aka сертифицированная винда… а дальше посмотрим.
ОтветитьУдалитьА с изменениями я вообще звездно попал: читал курс по защите ПД, 2-х дневный, который начался во Владивостоке 27 июля... ;) Хорошо уже основные моменты были обсуждены не на раз.
2 avetjan "закон де-факто лишил силы подзаконники". Вот чем он их лишил? Ссылки на статьи дайте, было бы очень легче жить.
Статья 19. Читать-неперечитать;)
ОтветитьУдалитьЧто там написано должно установить правительство?
Ответ: уровни защищенности, требования к защите
А что "установлено" в ПП 781?
Ответ: требования к обеспечению безопасности
Нет, это не одно и тоже.
Исполнение ПП 781 приводит к исполнению статьи 19, как написано в самом ПП?
Ответ: нет, так как оно не дает методику определения уровней защищенности и требований к защите.
За нарушение ПП 781 (и всего что под ним) установлена ответственность?
Ответ: нет, так как ответственность в КоАП 13.11 установлена за нарушение закона, а ПП781 на настоящий момент к закону отношения не имеет (см. пункт 1).
Вот такие пирожки...
2 avetjan: пробовал получил ответ в РКН, который здесь уже в блестящей формулировке привел Михаил Емельянников: "Постановление Правительства может отменить только Правительство. Или о прекращении его действия должно быть прямо указано в законе".
ОтветитьУдалитьЯ как практик придерживаюсь мысли, что после меня у заказчика должна быть не противоречивая и не вызывающая аллергии у контролеров позиция подкрепленная прямыми цитатами из документов. Так что ПП 781 действует, приказ трех, формально тоже. Поэтому системы специальные, а угрозы ждем от Правительства. Пока еще старшие товарищи не смогли аргументированно указать на изъяны позиции.
Результат в итоге схожий, но неприятных моментов существенно меньше. ;)
Блестящая формулировка Емельянникова - это не более чем бюрократический трюизм, поэтому она и блестящая - не подкопаешься. Энтропия правда нулевая, она не в коей мере не устраняет сложившуюся неопределенность с подзаконниками.
ОтветитьУдалитьМеня вот всегда интересовало: какого собственно у РКН осведомляются касательно вопросов, находящихся в компетенции ФСБ и ФСТЭК?
Как мне однажды в личной беседе "сообщило РКН" - они никакого отношения к статье 19 не имеют, это не их дело и проверять в этой области они права не имеют. Так же как и высказывать свое "авторитетное мнение".
Вы, как практик, можете лечить своим заказчикам что угодно, я, как практик, тоже этим занимаюсь, потому что их вопросы требуют ответа. Но как человек добросовестный, я не могу не уведомить их о существенных изменениях в законодательстве и в том, что меры принимаемые ими, в том числе и по моей рекомендации - к исполнению 152ФЗ отношения не имеют, а принимаются в угоду не очень грамотным проверяющим, которые когда-нибудь придут. Скорее всего тогда, когда новые подзаконники уже будут приняты.
2 avetjan Exuse me, кажется уже очень давно было решено, что в текущей конфигурации 152-ФЗ просто добавил риски в модель рисков. При этом там фигурируют контролирующие органы и они сейчас единственный источник рисков, т.к. субъект остался за скобками.
ОтветитьУдалитьЕще раз я утверждаю, что до выхода ПП требуется пока в основном бумажная работа с минимальными инвестициями в программно-аппаратный комплекс. Эта позиция является следствием "существенных изменениях в законодательстве".
Г-н Емельянников как раз озвучивает позицию с которой будет вестись проверка и бессмысленно вести спор с юристом на его территории если вы не юрист, нужно готовить аргументы защищающие позицию заказчика.
> уже очень давно было решено
ОтветитьУдалитьЭээээ, решено кем, простите? В своих утверждениях я опираюсь только на текст закона, а не на его интерпретации разными блогерами.
Анализ того что стало с госрегулированием у меня тоже есть и Вы, кажется, этот пост видели. Там все перекроено! Модель совершенно иная, нежели была раньше, нельзя сказать что что-то "просто добавили", это не так!
Касательно проверки: хорошо, вот Вы проверили меня на соответствие ПП781 приказу трех и 58ому приказу И ЧТО ДАЛЬШЕ? Что вы мне предъявите? Что я нарушил? По какой статье вы мне выпишите протокол об административном правонарушении или возбудите уголовное дело?
Ответьте на этот вопрос, прежде чем говорить, что защищаете таким образом заказчика. Заказчика надо учить защищаться, пусть знает закон лучше проверяющего.
Давайте спрогнозируем ответ на Ваше прочтение Закона:
ОтветитьУдалитьВ ПП781 идет отсылка на 19 статью, в статье 19 п3 пп2 звучит:
требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных…
ПП781 устанавливает "требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
При этом п.11д устанавливает необходимость "контроля уровня защищенности".
Более того т.к. законодатель разделил понятие уровней защищенности (пп. 1) и требований )пп.2) соответственно имеет смысл ожидать 2-х документов. Так что судьба ПП781 не так уж и очевидна.
Отсюда что предъявлять понятно - нарушение закона "О персональных данных". Понятно, что можно обжаловать в суде, но, для меня, не ясны перспективы дела.
Требования к защите установленные на основе уровней защищенности и некие общие требования к обеспечению безопасности установленные от балды в ПП - это совершенно разные требования.
ОтветитьУдалитьОжидать что ПП 781 останется нет никакого смысла - правовые модели совершенно разные, не зря многие положения из этого ПП перебрались в текст закона.
Предъявлять нечего, так как закон я не нарушал.
На основании чего Вы решили что "Требования к защите установленные на основе уровней защищенности и некие общие требования к обеспечению безопасности установленные от балды в ПП - это совершенно разные требования".
ОтветитьУдалитьНи один юрист, к которому я обращался, не может подтвердить Вашу правоту.
На основании русского языка.
ОтветитьУдалитьНепрошибаемый аргумент, мне Вам больше нечего сказать. На пути понимания юристов стояло Ваше понимание ситуации и Ваш же пересказ нашего разговора. Если Вы хотите что бы они по настоящему ответили за то что сказали - пусть изложат свою точку зрения в письменном виде, можно публично, можно мне на почту. Я на нее отвечу. Мне кажется, это в интересах вашей компании.
Не сочтите за переход на личности, но Вы участвовали с любой стороны в проверках, не важно ПД или конфа или ГТ? У меня есть некоторый опыт общения с контролирующими органами в полевых условиях. Не скажу за всю страну, но аргумент "На основании русского языка" совершенно не действует на некоторых представителей уважаемых организаций, более того, я думаю, совершенно справедливо. У контролирующих органов мнение и в более очевидных ситуациях не совпадает с логикой и нашими желаниями.
ОтветитьУдалитьБолее того, в каком месте утверждение, что п.3 пп.2 статьи 19 противоречит нормам русского языка я не пойму.
Приведу цитату обсуждаемого здесь пункта полностью:
"3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".
По трем пунктам имеем 2 действующих документа. Или ПП-512 тоже не действует? В 781-ом есть ссылка на уровни защищенности. Пока они не определены и техническая часть не определена, но ПП-781содержит не только технические требования к защите, но еще и организационные и они в общем случае не противоречат действующей редакции Закона.
Дайте аргументы с ссылками на документы которые признаются регуляторами или судом и я первый пожму Вам руку. До тех пор я не могу с Вами согласиться в том, что ПП781 де факто не действует и буду рекомендовать всем приводить в порядок документы с учётом положений 152-ФЗ и ПП-781 и если требует финансовая ситуация потратить деньги, то закупать базовые вещи необходимые в любом случае.
Возвращаясь к теме топика:
ОтветитьУдалитьСчитаю, что если не вдаваться в неопределенность с действием подзаконных, консультанты поступили верно.
Как выполнено обезличивание с технической точки зрения - вопрос интересный, но если там пациентам присвоены индексы, записанные на бумажном носителе, а в ИСПДн хранится только история болезни, без какой либо другой информации о пациенте, то ИСПДн относится к классу К4, поскольку при исполнении ч.6 приказа, Вы относите эти данные к обезличенным.
Понимаете, тут вопрос не в обезличивании, а в том что классификация проведена неверно, в принципе.
ОтветитьУдалитьКласс К-4 относится к типовым системам, а п.8 приказа относит ИС "в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных" к специальным. Так что в лучшем случае там класс К-4, специальная. Соответственно требуется модель угроз и только потом определение класса. Если посмотреть на определение К-4, то это ИС "для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных". В случае обезличивания понятно, что конфиденциальность не играет решающую роль, но есть еще целостность-доступность. И целостность в данном случае не позволяет остаться в К-4, ну ни как. IMHO очевидно. К сожалению в большинстве голов безопасность информации отождествляется с конфиденциальностью и это очень прискорбно.
А обезличивание и мы используем часто, если это позволяет решить проблемы заказчика.
И совершенно не понятна фраза "…наличия согласие пациента признать свои персональные данные общедоступными…", т.е. в отношении одного и того же набора применена процедура обезличивания и гражданин принял решение сделать их общедоступными. Общедоступность, в данном случае противоречит Статье 61. Врачебная тайна, уже медицинского законодательства Там общедоступность вообще не предусматривается.
Но здесь что-то определенное можно сказать, только пощупав систему.
Во первых, важно ПД, конфа или ГТ. Если вы не понимаете как отличаются эти проверки, в том числе с точки зрения процесса - это весьма печально. В одном случае административка и максимум 10 тысяч, а в другом преступление против государства, уголовная статья и N лет. А закона по "конфе" и соответственно проверок - и вовсе нет! Кроме того, не было и ближайшие полгода точно не будет НИ ОДНОЙ проверки силовиков по теме персональных данных.
ОтветитьУдалить> Не скажу за всю страну, но аргумент "На основании русского языка" совершенно не действует на некоторых представителей уважаемых организаций
Мне кажется мы с вами закон обсуждали, а не то как правильно напоить проверяющих, чтобы на них подействовали любые аргументы. Если проверяющий и проверяемый не знают русского языка - это не проблемы закона и уж тем более не проблемы языка.
У каждого свои методы прохождения проверок, я говорю с позиции закона. Как порхать бабочкой и выдавать на гора все, что захочет проверяющий, не зависимо от законности его требований - от обсуждения этого вы уж, пожалуйста, меня увольте. Сейчас я руководствуюсь принципом: "Учите хорошему, плохому научатся сами".
Какие к черту ссылки, если в федеральном законе написано одно, а в ПП другое??? Куда еще ссылаться? Дальше только Конституция! Вы две фразы не можете друг от друга отличить: "Требования к защите" и "требования к обеспечению безопасности"? Довольно демагогии, если Вам или виртуальным (находящимся только в вашей голове, потому что не было еще НИ ОДНОГО решения на этот счет) "регуляторам или суду" непонятна разница между двумя этими фразами, это проблемы участников процесса. Я считаю, что любой суд эту разницу увидит.
А учить кого-то выживать в суровых условиях российской правовой действительности я не могу.
Во первых, важно ПД, конфа или ГТ. Если вы не видите разницу? в том числе с точки зрения процесса - это весьма печально. В одном случае административка и максимум 10 тысяч, а в другом преступление против государства, уголовная статья и N лет. Кроме того, не было и ближайшие полгода точно не будет НИ ОДНОЙ проверки силовиков по теме персональных данных.
ОтветитьУдалить> Не скажу за всю страну, но аргумент "На основании русского языка" совершенно не действует на некоторых представителей уважаемых организаций
Мне кажется мы с вами закон обсуждали, а не то как правильно напоить проверяющих, чтобы на них подействовали любые аргументы. Если проверяющий и проверяемый не знают русского языка - это не проблемы закона и уж тем более не проблемы языка.
У каждого свои методы прохождения проверок, я говорю с позиции закона. Как порхать бабочкой и выдавать на гора все, что захочет проверяющий, не зависимо от законности его требований - от обсуждения этого вы уж, пожалуйста, меня увольте. Сейчас я руководствуюсь принципом: "Учите хорошему, плохому научатся сами".
Какие к черту ссылки, если в федеральном законе написано одно, а в ПП другое??? Куда еще ссылаться? Дальше только Конституция! Вы две фразы не можете друг от друга отличить: "Требования к защите" и "требования к обеспечению безопасности"? Довольно демагогии, если Вам или виртуальным (находящимся только в вашей голове, потому что не было еще НИ ОДНОГО решения на этот счет) "регуляторам или суду" непонятна разница между двумя этими фразами, это проблемы участников процесса.
Я считаю, что любой суд эту разницу увидит.
А учить кого-то выживать в суровых условиях российской правовой действительности я не могу.
Руслан, теперь с Вами согласен, хоть в этой ситуации можно буквоедить ещё долго, здравый смысл должен побеждать :). Многие конторы пишут подобные решения не по глупости, а по согласованию со стороной Заказчика, к сожалению.
ОтветитьУдалить2 avetjan:
ОтветитьУдалитьНаконец я понял, что Вы имеет ввиду под разными вещами:
"Вы две фразы не можете друг от друга отличить: "Требования к защите" и "требования к обеспечению безопасности"?"
Смотрим ГОСТ 177799-2005:
Информационная безопасность – механизм защиты обеспечивающий …
Смотрим ГОСТ Р 50922-2006 Защита информации. Основные термины и определения:
Защита Информации — деятельность по предотвращению утечки информации, несанкционированных и непреднамеренных воздействий на информацию, то есть процесс, направленный на достижение информационной безопасности>.
Взято здесь.
Так что "Требования к защите" и "требования к обеспечению безопасности" - синонимы.
Во-первых, даже если опираться этот глубококосячный (стыд и срам ГНИИИ ПТЗИ) перевод ISO 17799, там говорится об "информационной безопасности", которая "механизм", а не о "безопасности информации", которая по ГОСТ 50922 "состояние".
ОтветитьУдалитьВо-вторых, цитата в викисеке неправильная, в ГОСТ Р 50922-2006:
1) "Защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию".
2) "безопасность информации [данных]: Состояние защищенности информации [данных], при котором обесепчены ее [их] конфиденциальность, доступность и целостность."
Но самое главное то, что ГОСТы - это вообще-то не источники права.
А в-третьих, по закону: "Требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных", а в ПП ни о каких уровнях защищенности нет ни слова.
А уровень защищенности - который сам по себе состояние, не может быть условием другого состояния.
Так что это здесь точно не синонимы.
Не надо заниматься идиотизмом, его и так вокруг полно. То что модель регулирования в законе сменена - это очевидно, то что старые подзаконники (781, приказ трех и 58 приказ) ни по духу, ни по букве под новую модель не подходят - это тоже очевидно.
Вы конечно можете продолжать бессмысленную игру в слова, и возможно заказчики на нее даже поведутся, но это будет на Вашей же совести.
2 avetjan
ОтветитьУдалитьЕще раз настоятельно прошу Вас воздержаться от перехода на личности и фраз вроде: "Вы конечно можете продолжать бессмысленную игру в слова, и возможно заказчики на нее даже поведутся, но это будет на Вашей же совести". Вопросы совести обсуждаются в других местах.
Теперь по существу:
Если Вы внимательно читали исходный пост, я утверждал, что остались только специальные системы. В ходе дискуссии я не раз говорил, что инвестиции в СЗИ ИСПДн сейчас стоит приостановить и сконцентрироваться на разработке документов.
Более того я с Вами согласен, ПП-781 не соответствует новой редакции Закона (хотя несоответствия не настолько значительны, как кажется Вам), но судя по последним (с 1 августа) проверкам РКН основные нарушения именно в оформлении документов, в том числе определенных ПП-781 и приказом 58.
Есть еще один момент,например, по Новосибирску, остались еще не подавшие уведомление в РКН, а сайте РКН уже размещена новая форма уведомления и требуется, как минимум в двух местах, указать класс ИСПДн. В качестве выбора по классу стоит К1-К4.
Так что, как Вы говорите, "де-факто" ПП-781 приказ трех и т.д. действующее, и с этим, к сожалению ни чего не поделаешь…
P.S. Учитывая срочность выпуска нового ПП, очень подозреваю, что опыт этой дискуссии будет весьма полезен в будущем.
P.P.S. В ПП-781 уровень защищенности упоминается дважды. Удивлен, что Вы с Вашим уровнем проработки документов это пропустили ;)
Извиняюсь, что вмешиваюсь в диалог, но
ОтветитьУдалить"Есть еще один момент,например, по Новосибирску, остались еще не подавшие уведомление в РКН, а сайте РКН уже размещена новая форма уведомления и требуется, как минимум в двух местах, указать класс ИСПДн. В качестве выбора по классу стоит К1-К4."
Форма электронного уведомления была такой давно, недоумевал от избыточности запрашиваемых данных по крайней мере год назад. А если Вы про "бумажную", то это не более чем самодеятельность отдельно взятого управления.
"но судя по последним (с 1 августа) проверкам РКН основные нарушения именно в оформлении документов, в том числе определенных ПП-781 и приказом 58."
Кроме проверки документов, из пункта 5, про уровни защищенности, несколькими особо прямолинейными управлениями, ничего не видел. У Вас есть подобная информация? :)
Зачем в разговоре о законе все время ссылаться на чьи-то мнения?? Ну и что РКН? Ваш Роскомнадзор откровенно нарушает закон. Просто пока не нарвался на грамотного юриста, что печально. Для меня критерием законности или не законности чего бы то ни было является закон, а не его интерпретации откровенно безграмотными чинушами или вымогателями.
ОтветитьУдалитьЧасть 8 статьи 19:
"Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных."
P.S. Там не устанавливаются уровни защищенности (во множественном числе!) как показатель чего бы то ни было.
2 Trotsky
ОтветитьУдалитьПро электронную... Моя ошибка, я ее в последний раз видел черт знает когда. Еще подумал почему нет ФИО ответственного. Так что извиняюсь.
У проверяющих есть внутренние регламенты, включающие эти вопросы. В последних проверках задавались вопросы: а как защищаете? Как следствие – а все ли сертифицировано? А есть ли инструкции? А как ведется учет средств ЗИ.
2 avetjan:
ОтветитьУдалить"Для меня критерием законности или не законности чего бы то ни было является закон…" – будем ждать судебную практику у Вас или у меня.
"Там не устанавливаются уровни защищенности (во множественном числе!) как показатель чего бы то ни было" – во-первых там есть отсылка к уровням защищенности и об этом я говорил, во-вторых установка уровней защищенности не было целью этого документа.
Во-первых, там есть отсылка к уровнЮ защищенности - эфемерной категории, понимаемой лишь интуитивно, а не к уровнЯМ защищенности - шкале оценки защищенности ИСПДн, как это написано в законе. Не надо путать слова.
ОтветитьУдалить> во-вторых установка уровней защищенности не было целью этого документа.
То то и оно:DDD А по закону должно быть целью.
Судебной практики мы на этот счет не увидим;)
Правильно ли я понимаю ситуацию с классификацией: фактически сейчас есть 2 пути, по которым можно идти:
ОтветитьУдалить1. Провести предварительную классификацию по "приказу трёх", после чего составить модель угроз (в соответствии с требованиями ФСТЭК и ФСБ) и подправить требования к СЗИ в соответствии с ней и требованиями 58 приказа для типовых ИСПДн (силу-то он не утратил; соответственно, могут добавиться цели (а могут и не добавиться!), помимо конфиденциальности), после чего поставить отметку "Кi, специальная" и отправить акт на регистрацию в РКН.
2. На классификацию "приказа трёх" не смотреть, а сделать пометку "специальная" сразу, что в соответствии с тем же приказом даёт возможность классифицировать систему, во-первых, исходя лишь из модели угроз, а во-вторых, осуществлять собственную классификацию. Т.е. разработать модель угроз, чисто по желанию - привести его в соответствии с требованиями 58 приказа по "методам и способам защиты" (а можно и не приводить, т.к., на сколько я помню, он носит рекомендательный характер), а дальше ввести свои классы защиты, указать всё это в акте классификации, отправить на согласование с ФСТЭК и дело сделано.
В итоге, новая редакция закона фактически смягчила требования по оценке соответствия ИСПДн.
Кстати, по оценке соответствия. К сертификации она никакого явного отношения не имеет, я так понимаю. И в ПП-781 и в 58 приказе даются намёки на неё, но явно не указано. Зато в ст.19 новой редакции 152-ФЗ указано, что сертификация - это всего лишь одна из возможных форм оценки соответствия.
2 avetjan:
ОтветитьУдалить"То то и оно:DDD А по закону должно быть целью."
Ну кто Вам сказал, что уровни защищенности и требования должны быть в одном документе?
Понятно, что т.к. уровней нет, то документ подвисает в воздухе, но при этом он не отменяется.
Это как "забытая функция" в программном проекте... Зная адрес и параметры ни кто не запрещает ее вызвать, только вызова нет...
Контролеры знают и вызывают. ;)
2 Александр в общих чертах да. Только классифицироваться все равно придется. ;)
Раньше оценка соответствия была в позаконниках, теперь в Законе. Проблема в том, что сейчас нет альтернативы.