Аттестация и ФЗ-152: мнение ФСТЭК

Неделя была очень насыщенной — две командировки, 4 перелета, 8 презентаций… Поэтому не было сил что-то писать. Да и сейчас нет. Осмысливаю впечатления от московского PHD и казанского ITSF. Поэтому эту рабочую неделю хочется закончить «позитивно» 😉

Коллеги часто присылают мне различные интересные документы, письма, запросы регуляторов, выдержки из актов проверок и т.д. И вот новый «подарок» — письмо одного из региональных управлений ФСТЭК. Текст привожу полностью: «В соответствии с
требованиями совместного приказа ФСТЭК России № 55, ФСБ России № 86 и
Мининформсвязи России № 20 от 13.02.2008 «Об утверждении порядка
проведения классификации ИСПДн», зарегистрированного в Минюсте России
3.04.2008 № 11462, по результатам анализа исходных данных (в том числе и по
категории обрабатываемых ПДн) ИСПДн присваивается один из классов К1, К2, К3,
К4.


ИСПДн, обрабатывающие ПДн, находящиеся в ведении органов государственной
власти, считаются обрабатывающими государственный информационный ресурс и
подлежат обязательной аттестации по требованиям безопасности информации
независимо от присвоенного класса. Режим защиты ПДн, не являющихся
государственным информационным ресурсом, а также перечень необходимых мер
защиты устанавливается собственником информационных ресурсов.
 

Аттестация информационных систем производится в соответствии с требованиями
Специальных требований и рекомендаций по технической защите конфиденциальной
информации (СТР-К 2002) и Положения о методах и способах защиты информации в
ИСПДн, введенных в действие приказом ФСТЭК России от 5.02.2012 № 58
«.

Вот такие пироги. Госорганам стоит готовиться. Хотя они всегда попадали под требования СТР-К с аттестацией, но у кого-то были сомнения. Вот позиция регулятора.

В данном письме интересен и следующий фрагмент: «Режим защиты ПДн, не являющихся
государственным информационным ресурсом, а также перечень необходимых мер
защиты устанавливается собственником информационных ресурсов
«. Он ну очень многозначителен. Если быть позитивным, то гласит он только одно — коммерческие операторы ПДн сами решают, как защищать ПДн и приказ 58 им не указ. Но эту позицию мы оставим до выхода новых документов ФСТЭК по защите персданных, которые планируются к июлю этого года.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Д.Никитин

    Получит это региональное управление по шапке от ЦА за конфету коммерческим операторам ПДн, т.к. письмо противоречит требованиям новой редакции ФЗ-152 и уж никак не может их ослабить

    Ответить
  2. Виктор

    Открытие Америки. А можно было просто СТР-К почитать внимательно.

    Тоже касается "конфеты операторам" — что раньше, что сейчас уровень защиты они устанавливают сами, но в соответствии с методиками.

    Ответить
  3. Д.Никитин

    уровень да, ну а в письме то "режим защиты и перечень мер". Так что не конфета, а пустой фантик 🙂

    Ответить
  4. Ronin

    Который раз уже обсуждается эта тема и трактовка о самостоятельном определении мер. На мой взгляд, все куда проще — у операторов есть документы, в соответствии с которыми они определяют УЗ (ранее — класс), есть набор требований, которые являются минимальными необходимыми в целом (ФЗ и ПП) и по УЗ/классу (приказы), а далее, в соответствии с ФЗ, они могут сами выбирать меры, необходимые и достаточные для реализации этих требований. Если есть необходимость и желание — могут сами же определить и выполнять больший набот мер.
    Как пример — есть требование учета машинных носителей — пожалуйста, выбирайте — можно вести электронную библиотеку, можно бумажную, можно ещё как-то. Есть требования по предотвращению несанкционированного физического доступа — выбираем замки, систему наблюдения, сигнализации, решетки на окнах и т.д.
    Но в данном письме получается странной подача, как бы в противовес — для госов нужна аттестация, а коммерсы выбирают режим сами. Что же тогда подразумевается под этим режимом (с мерами защиты-то все понятно), который коммерсы выбирают сами, а, судя по стилю написанного, госы не могут сами выбрать? Определение УЗ-то для всех одинаково. Соответственно, и требования по УЗ для всех будут равны по идее.

    Ответить
  5. Svyazist

    Данный ответ повторяет ответ ФСТЭК по ЦФО двухлетней давности
    http://zalil.ru/33415282
    … ничего не меняется

    Ответить
  6. Сергей

    Интересно, а кто нибудь анализировал, почему регуляторы так настойчиво продавливают аттестацию и сертификацию? Кому это выгодно? Сильно сомневаюсь в их бескорыстной заботе о ПДн наших граждан. Деньги немалые, и получают их коммерческие структуры. А вот проследить бы цепочку до конечного получателя.

    Ответить
  7. Алексей Лукацкий

    "Национальная безопасность" — это их все. Почитай стратегию нацбезопасности и доктрину ИБ — там все написано, чего они боятся и почему они продвигают оценку соответствия в разных формах

    Ответить
  8. Виктор

    Аттестация и сертификация позволяет управлять рынком и отдельными участниками. Это ради власти.

    Ответить
  9. Ledokol

    Ради власти?
    Непродуманное и недальновидное утверждение. Вот объясните мне — почему мы предпочитаем покупать сертифицированные телефоны, продукты питания и т.п., а когда речь заходит про средства защиты информации, то некоторые "защитники информации" тут же ищут коррупцию и проявляют пофигизм (пардон за мой французский) в этом вопросе?
    Аттестация для госструктур всегда была обязательна, аттестация для коммерческих организаций — рекомендована (см. СТР-К, там все понятно изложено). Но вопрос в другом — ЗАЧЕМ ИЗОБРЕТАТЬ ВЕЛОСИПЕД?
    Если есть правила, по которым играет регулятор, зачем придумывать свои? Чтобы как китайские комсомольцы преодолевать трудности, которые сами же и придумали?
    Да и, как здесь уже отметили, требования ФЗ-152 письмом регионального управления ФСТЭК нельзя отменить.
    Кстати, кто докажет, что ПДн не относятся к государственным информресурсам?

    Ответить
  10. Алексей Лукацкий

    Вот когда средства защиты будут сертифицировать как телефоны или продукты питания, т.е. по наименованию, а не по штучно, то тогда и вопросов не будет.

    Ответить
  11. Ledokol

    Стоп, стоп, Алексей!
    Вы слышали про такую схему сертификации, как "серийное производство"?
    Все СЗИ по этой схеме сертифицированы.
    Что касается АТТЕСТАЦИИ, то технические каналы утечки информации у каждого объекта индивидуальны.
    Законы физики, видите-ли…

    Ответить
  12. Алексей Лукацкий

    "Все", вы имеете ввиду российские? Так они занимают меньше половины доли российского рынка

    Ответить