Трактование мер по обеспечению безопасности персональных данных и ГИС

Аватар пользователя IvanBoytsov
Автор: Бойцов Иван, ООО "Код Безопасности"
(0)
()
Опубликовано в:

При составлении таблицы выполнения продуктами Код Безопасности мер по обеспечению безопасности персональных данных, у нас с коллегами то и дело разгорались споры по трактовке этих самых мер.

Берем, к примеру, одну из первых мер - ИАФ.2, которая звучит как "Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных". Первый же вопрос - что такое мобильные и портативные устройства. Чем мобильные отличаются от портативных? Можем ли мы говорить, что ноутбук - это портативное устройство, а нетбук - мобильное? Никаких критериев и пояснений нет, значит - можем. Ставим уверенный плюс, даже если продукт работает только под Windows.

Идем дальше, ИАФ.5 - "Защита обратной связи при вводе аутентификационной информации", менеджеры продуктов предлагают варианты на перебой - подписывание авторизационного трафика при удаленном доступе, слежение за перехватом Windows API и детектирование кейлогеров при локальном вводе данных, использование токенов с PIN-кодами и так далее. А тут в твиттере выдвигают простое предположение:

 

И такие примеры можно привести практически по каждому пункту. Что делать интеграторам и разработчикам средств защиты? Моё мнение - трактовать меры по защите по своему усмотрению, по крайней мере, до выхода методических документов ФСТЭК, обещанных нам в конце этого года. Впрочем, правовой статус методических документов еще нужно будет выяснять, вполне возможно, что документы будут носить рекомендательный характер, если их обязательное применение не пропишут в очередном приказе ФСТЭК.

Оцените материал:
Total votes: 570
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.