Коллеги часто присылают мне различные интересные документы, письма, запросы регуляторов, выдержки из актов проверок и т.д. И вот новый «подарок» — письмо одного из региональных управлений ФСТЭК. Текст привожу полностью: «В соответствии с
требованиями совместного приказа ФСТЭК России № 55, ФСБ России № 86 и
Мининформсвязи России № 20 от 13.02.2008 «Об утверждении порядка
проведения классификации ИСПДн», зарегистрированного в Минюсте России
3.04.2008 № 11462, по результатам анализа исходных данных (в том числе и по
категории обрабатываемых ПДн) ИСПДн присваивается один из классов К1, К2, К3,
К4.
ИСПДн, обрабатывающие ПДн, находящиеся в ведении органов государственной
власти, считаются обрабатывающими государственный информационный ресурс и
подлежат обязательной аттестации по требованиям безопасности информации
независимо от присвоенного класса. Режим защиты ПДн, не являющихся
государственным информационным ресурсом, а также перечень необходимых мер
защиты устанавливается собственником информационных ресурсов.
Аттестация информационных систем производится в соответствии с требованиями
Специальных требований и рекомендаций по технической защите конфиденциальной
информации (СТР-К 2002) и Положения о методах и способах защиты информации в
ИСПДн, введенных в действие приказом ФСТЭК России от 5.02.2012 № 58«.
Вот такие пироги. Госорганам стоит готовиться. Хотя они всегда попадали под требования СТР-К с аттестацией, но у кого-то были сомнения. Вот позиция регулятора.
В данном письме интересен и следующий фрагмент: «Режим защиты ПДн, не являющихся
государственным информационным ресурсом, а также перечень необходимых мер
защиты устанавливается собственником информационных ресурсов«. Он ну очень многозначителен. Если быть позитивным, то гласит он только одно — коммерческие операторы ПДн сами решают, как защищать ПДн и приказ 58 им не указ. Но эту позицию мы оставим до выхода новых документов ФСТЭК по защите персданных, которые планируются к июлю этого года.
Получит это региональное управление по шапке от ЦА за конфету коммерческим операторам ПДн, т.к. письмо противоречит требованиям новой редакции ФЗ-152 и уж никак не может их ослабить
Открытие Америки. А можно было просто СТР-К почитать внимательно.
Тоже касается "конфеты операторам" — что раньше, что сейчас уровень защиты они устанавливают сами, но в соответствии с методиками.
уровень да, ну а в письме то "режим защиты и перечень мер". Так что не конфета, а пустой фантик 🙂
Который раз уже обсуждается эта тема и трактовка о самостоятельном определении мер. На мой взгляд, все куда проще — у операторов есть документы, в соответствии с которыми они определяют УЗ (ранее — класс), есть набор требований, которые являются минимальными необходимыми в целом (ФЗ и ПП) и по УЗ/классу (приказы), а далее, в соответствии с ФЗ, они могут сами выбирать меры, необходимые и достаточные для реализации этих требований. Если есть необходимость и желание — могут сами же определить и выполнять больший набот мер.
Как пример — есть требование учета машинных носителей — пожалуйста, выбирайте — можно вести электронную библиотеку, можно бумажную, можно ещё как-то. Есть требования по предотвращению несанкционированного физического доступа — выбираем замки, систему наблюдения, сигнализации, решетки на окнах и т.д.
Но в данном письме получается странной подача, как бы в противовес — для госов нужна аттестация, а коммерсы выбирают режим сами. Что же тогда подразумевается под этим режимом (с мерами защиты-то все понятно), который коммерсы выбирают сами, а, судя по стилю написанного, госы не могут сами выбрать? Определение УЗ-то для всех одинаково. Соответственно, и требования по УЗ для всех будут равны по идее.
Данный ответ повторяет ответ ФСТЭК по ЦФО двухлетней давности
http://zalil.ru/33415282
… ничего не меняется
Интересно, а кто нибудь анализировал, почему регуляторы так настойчиво продавливают аттестацию и сертификацию? Кому это выгодно? Сильно сомневаюсь в их бескорыстной заботе о ПДн наших граждан. Деньги немалые, и получают их коммерческие структуры. А вот проследить бы цепочку до конечного получателя.
"Национальная безопасность" — это их все. Почитай стратегию нацбезопасности и доктрину ИБ — там все написано, чего они боятся и почему они продвигают оценку соответствия в разных формах
Аттестация и сертификация позволяет управлять рынком и отдельными участниками. Это ради власти.
Ради власти?
Непродуманное и недальновидное утверждение. Вот объясните мне — почему мы предпочитаем покупать сертифицированные телефоны, продукты питания и т.п., а когда речь заходит про средства защиты информации, то некоторые "защитники информации" тут же ищут коррупцию и проявляют пофигизм (пардон за мой французский) в этом вопросе?
Аттестация для госструктур всегда была обязательна, аттестация для коммерческих организаций — рекомендована (см. СТР-К, там все понятно изложено). Но вопрос в другом — ЗАЧЕМ ИЗОБРЕТАТЬ ВЕЛОСИПЕД?
Если есть правила, по которым играет регулятор, зачем придумывать свои? Чтобы как китайские комсомольцы преодолевать трудности, которые сами же и придумали?
Да и, как здесь уже отметили, требования ФЗ-152 письмом регионального управления ФСТЭК нельзя отменить.
Кстати, кто докажет, что ПДн не относятся к государственным информресурсам?
Вот когда средства защиты будут сертифицировать как телефоны или продукты питания, т.е. по наименованию, а не по штучно, то тогда и вопросов не будет.
Стоп, стоп, Алексей!
Вы слышали про такую схему сертификации, как "серийное производство"?
Все СЗИ по этой схеме сертифицированы.
Что касается АТТЕСТАЦИИ, то технические каналы утечки информации у каждого объекта индивидуальны.
Законы физики, видите-ли…
"Все", вы имеете ввиду российские? Так они занимают меньше половины доли российского рынка