Что нас ждет в ближайшее время с точки зрения регулирования темы ПДн?

На основании презентации по будущему регулированию в области ИБ сваял презу, ориентированную только на тему персданных. Я ее читал в Челябинске и решил выложить еще и тут. Собственно там ничего нового почти нет — кроме чуть более детальной информации по законопроекту Резника и изменениям в ФЗ «О техническом регулировании».

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. zabrodin

    В Вашей презентации есть пункт, гласящий, что сертификация СЗИ (за искл. СКЗИ) не является обязательной. Однако в РС 2.3 п.6.3.2 читаем: "Выполнение функций обеспечения безопасности ПДн в ИСПДн должно обеспечиваться СЗИ, прошедшими в установленном порядке процедуру оценки соответствия.."

    Ответить
  2. Maksim

    Алексей, какие требования необходимо выполнить, для легитимного использования VPN с встроенной криптографией?

    Ответить
  3. Анонимный

    >НИР ТРИТОН
    >18 иерархически выстроенных документа

    И где это можно увидеть? Или хотя бы 3 профиля защиты и 3 модели угроз??
    Все что есть на сайте минкомсвязи – это две модели угроз и концепция.
    Вопрос риторический — очевидно, что в общем случае ответ нигде..

    Ответить
  4. Алексей Лукацкий

    zabrodin'у А в СТО написано, что СЗИ АБС могут быть несертифицированными.

    Maksim'у: Не совсем понял вопроса.

    tiger'у: Ну ИКС обещал выложить их в свободный доступ, но что-то так и не выложил.

    Ответить
  5. Maksim

    12 слайд Вашей презентации, сказано что встраивание криптографии в VPN не дает легетимного решения. А мой вопрос заключается в следуещем, какие действия необходимо выполнить чтобы при встраивании СКЗИ в VPN было легетимным.

    Ответить
  6. pushkinist

    а почему распространение скзи клиентам и генерация ключей не лицензируемы оказались?

    Ответить
  7. Алексей Лукацкий

    Maksim'у: Нужно сертифицировать ВСЕ VPN-решение целиком. Использования сертифицированного криптоядра недостаточно.

    pushkinist'у: Так написано во второй версии ПРОЕКТА нового приказа ФСБ.

    Ответить
  8. Алексей Лукацкий

    Maksim'у: Но опять же официальную позицию вы можете получить только сделав запрос в ФСБ. И получите вы такой же ответ, как есть у меня.

    Ответить
  9. Сергей

    К вопросу zabrodin, Алексей, но в в СТО п.7.4.2. действительно говорит о возможности не использовать сертифицированные СЗИ, но заглавие пункта 7.4. Обеспечение ИБ при управлении доступом и регистрации. Означает ли это то, что требование распространяется и на системы антивирусной защиты и МЭ?

    Ответить
  10. Алексей Лукацкий

    А в отношении антивирусов и МСЭ вообще ничего не сказано про сертификацию

    Ответить
  11. pushkinist

    а где-нибудь можно глянуть сей проект? 🙂

    Ответить
  12. Алексей Лукацкий

    Нигде 😉

    Ответить
  13. Алексей Лукацкий

    Пока нигде

    Ответить
  14. Сергей

    В приказе 58 в п.2.1. приведено требование к сертификации всех средств защиты информации. Подчеркиваю. всех! А в СТО БР ИББС только в подразделе по управлению доступом. Если бы это было в разделе 1, то вопрос бы не возникал, а так можно трактовать по разному требование, в частности для систем разграничения прав доступа можем использовать не сертифицированное ПО, а в остальных должно быть сертифицированное 🙂

    Ответить
  15. Алексей Лукацкий

    В Приказе 58 ни слова про сертификацию — всего лишь про оценку соответствия 😉

    И для тех, кто вступил в "Клуб СТО" приказ 58 уже не действует. Таково соглашение ФСТЭК и ЦБ.

    Ответить
  16. Сергей

    Ну как я понимаю в соответствии с волшебным документом ПП 330 (ДСП), единственный способ подтверждения соответствия — сертификация. Поэтому и говорю о сертификации :).
    А вот если в документе не сказано что сертификация не обязательна — это же не означает, что она действительно не обязательна. Вопрос то заключается в чем: если регуляторы будут трактовать отсутствие такого примечания в сторону необходимости использования сертифицированных средств, кроме систем разграничения прав доступа? Например ФСТЭК по сибирскому федеральному округу считает что в любых случаях, только сертифицированные СЗИ, что заставляет задуматься 🙂

    Ответить
  17. Сергей

    Хочу подвести к тому, что при следующем изменении СТО БР ИББС 1.0, логичнее было бы включить этот пункт в Общие положения :).

    Ответить
  18. Анонимный

    >И для тех, кто вступил в "Клуб СТО" >приказ 58 уже не действует. Таково >соглашение ФСТЭК и ЦБ.

    Меня давно интересует вопрос — это соглашение где-то прописано или как обычно, устно договорились?

    Ответить
  19. Сергей

    >И для тех, кто вступил в "Клуб СТО" приказ 58 уже не действует. Таково соглашение ФСТЭК и ЦБ.

    Вот тут письмо шестерых:
    http://cbr.ru/credit/Gubzi_docs/pismoKO.pdf

    Ответить