Один день из жизни ФСТЭК или как рождается SOISO

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(3)
()
Опубликовано в:

В прошедшую пятницу мне довелось поприсутствовать на втором из трёх заседании экспертной комиссии по обсуждению требований ПДн. Спешу поделиться впечатлениями.

Была приятно удивлена живостью дискуссии и неподдельным интересом к мнению экспертов со стороны представителей ФСТЭКа. Похоже, Служба на самом деле пытается создать полезный и понятный документ: обсуждения велись практически по поводу каждого пункта проекта приказа.

Андрей Прозоров, входящий в комиссию, в неформальной беседе после заседания поделился со мной своими впечатлениями: «Мне нравится. Никакого формализма. Я чувствую, что участвую в действительно важном деле. Моя точка зрения интересна. Ко мне и другим экспертам прислушиваются. Я верю, что наша работа в итоге выльется в реально хороший проект".

Из главного:

· При обсуждении эксперты исходили из того, что они определяют минимальный набор требований, который будет зафиксирован в документе и должен быть реализован в информационной системе после адаптации. Эти требования будут обязаны выполнять все операторы ПДн.

· Также, по словам заместителя начальника 2 управления ФСТЭК Виталия Лютикова, планируется реализовать дополнительный документ для госструктур с рекомендациями по выполнению мер и функций.

· Эксперты отметили важное упущение: в перечне мер нигде не обозначена защита самой системы защиты, которая бы включала в себя тестирование, контроль сбоев и так далее.

· Внесено предложение выделить отдельную группу мер: контроль и анализ защищенности информации

· В ходе обсуждения возникла дискуссия. Суть ее такова:

По группам определения мер предусмотрены следующие события: определение базового набора мер, адаптация этого базового набора мер применительно к структурным и функциональным характеристикам, которая по сути дела будет заключаться только в исключении определенных мер, связанных с информационными технологиями, которые не используются в той или иной системе. Есть уточнения, в зависимости от актуальных угроз, которые включают или исключают меры, а также дополнительно изменения, установленные нормативно-правовыми актами. Правильно ли, предоставить операторам возможность при уточнении исключать отдельные меры?

Основные предложения:

· Дополнить пункты ИАФ.4 и ИАФ.5:

ИАФ.4  Управление идентификаторами, в том числе создание, присвоение, отключение, ведение архивных копий идентификаторов и иные способы управления идентификаторами

ИАФ.5  Управление средствами аутентификации, в том числе регламентация записи, изменения, распространения, изъятия аутентификационной информации из средств, действий в случае утраты и (или) компрометации средств аутентификации и иные способы управления средствами аутентификации

· Объединить пункты ЗНИ.8 и ЗНИ.9 в один с формулировкой:

Уничтожение (стирание) и (или) обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль за уничтожением (стиранием) и (или) обезличиванием

При обсуждении пункта АВЗ.2 было предложено его расширить и заменить формулировку на Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

В пункте СОВ.2 предложено расширить формулировку и заменить на Обновление базы решающих правил

Оцените материал:
Total votes: 287
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя prozorov

К информации читателей. В понедельник (04.02.2013) была 3я (финальная) встреча во ФСТЭК, обсудили все предложения и рекомендации. Теперь регулятор готовит итоговый документ и показывает его своему руководству. Ждем... 

Подробнее про 1ю встречу тут: http://dlp-expert.ru/blog/2560/40228

up
10 users have voted.
Аватар пользователя Lindt

Обещают опубликовать в конце этой -начале следующей недели

up
10 users have voted.
Аватар пользователя Атаманов Геннадий

Странно в этом деле только одно: почему молчат остальные участники этого мероприятия? И вообще хотелось бы знать, кто они и что думают по этому поводу. 

up
15 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.