Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Немного обо всем, но все по делу

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(0)
()
Аккурат перед отпуском писать больших постов на какую-то конкретную тему не буду. Просто несколько заметок.

1. По итогам совещания на тему новых нормативных актов по защите ПДн могу сказать следующее:
  • Проекты Постановлений Правительства уже согласованы со всеми органами исполнительной власти и находятся на согласовании в Аппарате Правительства. Это информация от коллег из ФСБ. От коллег из экспертного сообщества информация немного иная - проекты Постановлений вызывали негативную реакцию в Минкомсвязи и в Аппарате Правительства. Минюст сделал только оформительские замечания (навроде "убрать таблицы и переписать все словами").
  • Из проекта Постановления по уровням защищенности скорее всего исчезнет понятие категории нарушителей - его заменят (предварительно) на уровни угроз. Правда, смысл реально от этого не поменяется. На выходе будут 4 уровня защищенности. При этом, каким-то пока непонятным пока еще способом уровни защищенности будут выводится из класса ИСПДн и перечня актуальных угроз. Я так и не смог себе этого представить.
  • Возможно (тут я уже скорее фантазирую, чем опираюсь на факты), что упомянутый выше уровень угрозы будет опираться на разрабатываемый в настойщий момент документ по моделированию угроз. Это будет то ли методика для федеральных органов исполнительных власти, то ли уже готовые модели угроз. Последнее менее вероятно, но такой вариант тоже озвучивался. Мне он лично нравится больше (проще работать с уже готовым перечнем угроз), но допускаю, что для уменьшения объема работы остановятся на общей методике моделирования.
  • Постановление по требованиям по безопасности ПДн устанавливает некий базовый набор требований для всех уровней защищенности.
  • Детализация требований для каждого уровня защищенности в отдельности будет на уровне ведомственных приказов ФСТЭК и ФСБ.
  • В зависимости от актуальности угроз какие-то требования по защите для уровней защищенности можно будет невыполнять. Коллеги из ФСБ клятвенно уверяли, что так и будет и что это уже заложено в приказ ФСБ. Тут меня, если честно, гложут сомнения. Во-первых, в том варианте приказа, который я видел, никакой привязки к актуальным угрозам не было - обычное перечисление требований применительно к разным уровням защищенности. А во-вторых, я не понимаю, как можно в почти уже принятом ведомственном приказе учесть то, что еще не разработано?.. Ведь методики определения актуальных угроз, как и самого перечня этих угроз еще нет.
2. На совещании прозвучало, что и ФСТЭК и ФСБ категорически против наделения Роскомнадзора полномочиями по проверке технических и организационных мер защиты ПДн, о которых говорится и в административном регламенте РКН и в проекте Постановления Правительства о полномочиях РКН. И РКН не дадут эти поправки провести. Дальше была некоторая дискуссия, суть которой сводилась к тому, что сейчас по мнению ФСБ у РКН нет права проводить проверки технических мер по защите даже с привлечением экспертов (логику РКН уже освещал Алексей Волков). На вопрос, кто же тогда будет проводить проверки коммерческих предприятий, если РКН не может, а у ФСТЭК и ФСБ нет таких полномочий по закону, коллега из ФСБ загадочно улыбнулся. Вот и думай теперь, что значила его улыбка?.. Неужели распоряжение Президента готовится, наделяющее их такими полномочиями?..

3. На bankir.ru коллега поделился успешным опытом прохождения проверки и тем, как она проходила. Позитивно. Правда, меня удивило требование РКН иметь согласие кандидатов на замещение вакантных должностей. По закону-то не надо - ст.6.1.5 - обработка ПДн необходима для заключения договора по инициативе субъекта. Тут вроде как инициатива субъекта на заключение трудового договора. Я уже не говорю про конклюдентное согласие на обработку ПДн в резюме для целей замещения вакантной должности. Кандидат для этого и посылает свое резюме и самим фактом его отправки дает согласие...

4. Ну и напоследок. Евгений Шауро поделился своими впечатлениями от платного семинара ЦБ по НПС, на котором выступал Андрей Петрович Курило. Он перешел из ГУБЗИ в Департамент регулирования расчетов Банка России и отвечает за регулирование ИБ в НПС. В заметке есть интересные моменты и по отчетности, и по будущему СТО, и про наполнение реестра операторов платежных систем, и про многое другое. Также Курило А.П. напомнил, что банкам стоит активнее задавать свои вопросы. Как через АРБ, так и через Интернет-приемную ЦБ (правда, на момент написания этого поста она не работала).
Оцените материал:
Total votes: 40
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.