Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Срочно в номер. ФСТЭК подготовил 2ю версию документа про требования к защите по ПДн

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(4)
()
Опубликовано в:
Многие помнят, что в конце прошлого года ФСТЭК России выпустил проект документа, определяющего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн. Потом мы отправляли свои замечания и предложения. Опасения, что они останутся неучтенными, оказались напрасными. Сегодня было проведено закрытое совещание, на котором обсуждался уточненный проект документа, я и еще 6 экспертов (думаю, что они тоже напишут свои мысли в блогах) были приглашены. Всего было 10 человек: 3 представителя регулятора и 7 экспертов. Мы довольно долго обсуждали и вносили свои корректировки.
В настоящий момент мы успели обсудить и внести предложения лишь по текстовой части документа, на следующем совещании (на этой неделе) будем рассматривать таблицу мер из приложения.

В настоящий момент могу сказать про документ:
  1. Принципиально документ не менялся и, видимо, уже не будет. Править ПП1119 нам тоже нельзя, ориентируемся на его положения.
  2. Большинство правок и предложений, которые мы с коллегами направляли во ФСТЭК России, учтены и внесены в новую редакцию документа. Документ стал "добрее" к операторам и чуть понятнее. 
  3. ФСТЭК России ориентируется на скорейшее получение итогового варианта документа. Вероятный план его издания такой: мы в ближайшие дни еще один-два раза собираемся, обсуждаем и вносим правки во 2ю версию документа. Затем он публикуется на сайте ФСТЭК России в качестве проекта, еще несколько дней регулятор собирает оставшиеся замечания и предложения и в начале-середине февраля уже публикует итоговую версию.
  4. В дальнейшем ФСТЭК России планирует издать еще несколько документов разъясняющих требования и рекомендации по ПДн, например, про вопросы связанные с моделью угроз. 

Теперь по правкам, которые уже внесены и/или будут внесены в ближайшее время (мы их обсудили сегодня):
  • мелкие правки по тексту, в основном про уточнение терминов, внесения ясности в "обязательность и рекомендации", прояснение требований;
  • упрощен пункт 4 про привлечение лицензиатов для выполнения работ по обеспечению безопасности ПДн;
  • поправлен пункт 5 про сертификацию, вернулись к термину "прошедшие процедуру оценки соответствия" (Алексей Волков улыбается);
  • четко прописали, что базовый перечень мер может быть как расширен, так и уменьшен за счет модели угроз и компенсирующих мер;
  • увеличен перечень групп мер, теперь их 13 (вместо 10 в первом варианте), отдельно вынесены:
    • антивирусная защита;
    • обнаружение вторжений;
    • доступность ПДн и иных ресурсов информационных систем.
      Не могу сказать, что это самая удачная группировка, попробую предложить другую, но этот вопрос не принципиальный (скорее смотрю со стороны удобства), поэтому скорее останется уже в таком виде.
  • возможно терминальные станции, как сейчас виртуальные среды, будут вынесены в отдельный пункт, мобильные устройства отдельно рассматриваться не будут (их защищаем с учетом представленных требований);
  • внесены правки в моменты связанные с защитой машинных носителей: внесены правки в терминологию (не надо рассматривать жесткие диски отдельно от АРМ), убрано требование по маркированию;
  • уточнено про физическую защиту (с точки зрения использования средств обработки вне контролируемой зоны);
  • пробуем подобрать формулировку для возможности выбора мер защиты с учетом экономической целесообразности;
  • ссылка на 7уровневую модель OSI (в конце текстовой части документа), вероятно, будет убрана;
  • рассматривается вопрос по удалению положений по сертификации на НДВ.

В целом взаимодействовать с регулятором и коллегами понравилось, поработали продуктивно. Попробуем сделать хоть и не идеальный документ (полностью править нельзя), но хотя бы чуточку лучше.


Оцените материал:
Total votes: 171
Тэги: 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

 

Этот приём называется "делегирование ответственности": документ выпустят с незначительными правками, а всю ответственность за него возложат на эту "великолепную семёрку". 

 

up
24 users have voted.
Аватар пользователя prozorov

Не, это не делегирование. Это скорее попытка диалога, мы даем свои рекомендации... К каким-то регулятор прислушивается, что-то, возможно, проигнорирует. Мы пробуем хотя бы немного улучшить документ, а полностью переделать нам его не дают.

up
34 users have voted.
Аватар пользователя Атаманов Геннадий

Про улучшение отдельных характеристик отдельно взятой субстанции я уже писал. Повторяться не буду. В остальном, как мне представляется, у нас нет противоречий.  Диалог - это форма; содержание: видимое - обсуждение документа, латентное (скрытое) - делегирование ответственности; цель: видимая - улучшение качества документа, латентная - создание демпфера (в народе - "козлов отпущения"). 

Время - лучший советник и лучший судья. Оно всех рассудит. А тут и ждать осталось недолго.

up
18 users have voted.
Аватар пользователя prozorov

Ага, наградить непричастных, наказать невиновных :)))

Ну, ок.

up
28 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.