В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
- «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
- «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Этот комментарий был удален автором.
😉
Как теперь говорить правильно?
Трехкнижье? 😉
Скорее легитимное однокнижье и нелигитимное двукнижье 😉
Т.е. теперь на основании действующих документов можно четко сказать: данные о здоровье -> система специальная -> класс системы определяется на основании модели угроз?
Ну, сейчас наверно уже нет бредовых двух-, трех- или семи-книжий 🙂
Просто Приказ 58, а к нему методика по составлению модели угроз и "Приказ Трех" (все-таки не уйти от литературных аллюзий) по классификации ИСПДн.
Сколько информации в рунете устарело… и энциклопедии http://wikisec.ru, и книги http://www.maprest.ru/pdata/. А сколько людей потратили деньги на всякие меропрития, средства, аттестации и прочее… А потом спрашиваем, почему наша страна "так" живёт.
На эту тему на а-датум хорошо отписались:
http://www.a-datum.ru/index.php?option=com_content&view=article&id=98:2010-02-26-09-09-34&catid=36:2010-02-11-13-56-45&Itemid=67
to A:
А вы сами-то читали эту книгу?
Советую почитать, она опубликована в блоге Юрия Владимировича Травкина, там вообще нечему устаревать — только анализ российского закона и европейского законодательства.
Основные понятия и откуда ноги растут хорошо разжевано.
Уважаемые коллеги, может быть я не первый, кто задается данным вопросом … но может быть предложить нашим регуляторам или операторам взять типовую ИСПДн (например 1С, которую многие используют)и разобрать ее по косточкам, начиная от классификации, построением модели угроз и т.д., как пример подхода по приведению к соответствию требованиям регуляторов ….
Прелестно
У нас как раз намечается семинар для медицинских работников, ответственных за защиту ПД. И весь доклад планировалось строить как развёрнутый ответ на вопрос "Как выполнить основные мероприятия?"
ФСТЭК как всегда вовремя со своими документами.
Прелестно
attendantofwood: Нет, не читал, спасибо за ссылку, почитаю.
RST: пусть они хотя бы определятся во мнениях, к какому постановлению относится 1С — к 781 или к 687.
Александру Шелипову: У медиков свои заморочки — приказы Минздрава-то по защите ПДн все еще действуют. Вот теперь вопрос — защищать по 58-му приказу или по документам Минздрава, построенным на старом четверокнижии.
Алексею Лукацкому
Мы основной упор делать будем на декабрьские методички минздравсоцразвития.
Беда в том что наш регоинальный минздрав их в глаза ещё не видел. А большая часть учреждений и не думала о выполнении этих требований. Будем опять с нуля разжёвывать.
Вот это и нехорошо ;-( Ибо эти методички гораздо жестче требуют защищать, чем 58-й приказ
По Минздраву 5 копеек: судя по-всему, придется новую НИР заказывать. 58 постановление оставляет намного больше возможностей для выбора способов защиты. Разработки многих документов можно избежать (к примеру, "Требования к ИСПДн" не упоминаются совсем). Я подозреваю, что 58 приказ поможет в том числе банкам продавить выполнение требований по СТО БР соответствующим реализации требований по защите ПДн. Предлагаю всем не торопиться и подождать разъяснений регуляторов на какой-нибудь конференции (самое главное, чтобы они прятаться не начали ;-)).Уверен, что сертификация в любом случае будет навязываться как действенный способ, а аттестация способствует уменьшению количества проверок по технической защите.
Алексею Лукацкому
Руководитель, узнав сегодня о решении ФСТЭКа, дал указание сделать акцент на определение актуальных угроз и их минимизации организационными мерами, чтобы избежать лишних финансовых затрат на приобретение систем защиты, ибо у областных учреждений (и не только у них) денег катастрофически не хватает.
Опять же в контексте приказа 58.
Посмотрим, что из этого выйдет.
зы. Сегодня представитель ФСТЭКа сами позвонили и предупредили чтоб мы не горячились пугаь врачей отменёнными методичками. Приятно было ответить ФСТЭКу что мы и сами оперативно следим за ситуацией)))
Респект за регулярные новости в этой сфере и низкий поклон от всего отдела)
Этот комментарий был удален автором.
Алексей, как вы думаете, что подразумевается под атрибутами безопасности в п.2.7 58 Приказа?
Я бы предположил, что речь идет об IPSec, но фиг его знает…