Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Согласование МУ со ФСТЭК

Аватар пользователя merced2001
Автор: Агеев Артем, itsec.pro
(7)
()
Опубликовано в:
Любители всё согласовывать частенько настаивают на согласовании моделей угроз с ФСТЭК. Наличие заветной подписи заметно успокаивает начальство и говорит о том, что деньги потрачены не зря. Поэтому и получается, что согласование МУ с регуляторами - это не обязанность, а скорее привилегия :).
 
 
П.7 ст.19 152-ФЗ говорит о том, что отраслевые МУ нужно согласовывать с ФСТЭК и ФСБ, если в них имеются "дополнительные угрозы безопасности ПДн". ПП 940 говорит КАК это нужно делать.
Однако ФСТЭК ЮФО не горит желанием согласовывать присланные ему МУ:
Т.о. модель угроз ИСПДн конкретной организации региональные отделения более не согласовывают. Хотите согласованную МУ? - создавайте отраслевую ассоциацию, назовите МУ отраслевой и направляйте её в ФСТЭК уже от имени ассоциации. 
 
Еще один вывод из этого - от ситуации, когда у нас было сразу 3 регулятора в области персональных данных, мы постепенно скатываемся к ситуации, когда у нас нет ни одного: РКН интересует только отсутствие согласии и уведомлении, аккредитованные РКН эксперты по ТЗКИ сидят без дела, ФСТЭК от коммерческих организаций отстранился, проверки ФСТЭКом госконтор никогда не заканчиваются наказаниями и частенько носят банкетный характер, ну а ФСБ вообще не нужен повод типа защиты персональных данных, чтобы кого-нибудь проверить и наказать :)
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя GeorgeG

Вот спасибо за картинку с автографом! С этой картинкой и фотошопом шансы на успешное прохождения проверки резко повысились:)

up
36 users have voted.
Аватар пользователя merced2001

Если Вы про Куца - то лучше не надо :). Он уже не начальник ФСТЭКа. 

Ну а автограф Данилова будет работать только по ЮФО.

up
28 users have voted.
Аватар пользователя GeorgeG

Чуть не спалился, чур меня:))) Шутки шутками, а вот интересно - такое творчество будет рассмтриваться как подлог (т.е. уголовное преступление), или же просто как недостоверные свидетельства?

up
36 users have voted.
Аватар пользователя merced2001

Подпись чиновника в нашей стране овеяна незримой силой и помогает при лечении запоров...

Поэтому государство будет яро бдить за неприкосновенностью этого реквизита и любая попытка его подделать обойдётся дороже, чем купить.

up
36 users have voted.
Аватар пользователя GeorgeG

Да, согласен конечно. Это я так, фантазирую:)

up
35 users have voted.
Аватар пользователя Сергей Хайрук

Мне до сих пор вспоминается рецепт, озвученный одним небезысвестным в узких кругах товарищем на одной из конференций. Рецепт такого рода - не нужно пытаться удовлетворить всех, достаточно объявить ИСПДн специальной и согласовать использование крипты в ФСБ. Все.

Как думаете, еще работает?

up
55 users have voted.
Аватар пользователя merced2001

Согласование с ФСБ работало, работает и будет работать )

 

Только вот получить его на конкретную ИСПДн нереально.

up
29 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.