Документы ФСТЭК по ПДн — новый статус

Наверное для многих это уже не новость, но все-таки: 12-го (или 11-го) ноября ФСТЭК сняла гриф ДСП с двух своих документов по персданным. Сами документы тоже обновились, но очень незначительно. Скачать их можно с сайта ФСТЭК:

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Анонимный

    А что изменилось, скажите пожалуйста?

    Ответить
  2. Алексей Кузнецов

    1) в "Рекомендациях" изменилась часть касающаяся процесса классификации по вопросу типовые/специальные
    2) в "Требованиях" изменились требования к криптографической подсистеме ИСПДн первого класса

    Есть предположения, что должны были исправиться многочисленные ошибки, но нет времени проверить.

    Это всё в сравнении с первичной печатной редакцией документов.
    Кстати, в нашем ФСТЭК при разговоре об изменениях говорят, что изменилась только часть про типовые/специальные системы. В остальные изменения приходится им же показывать пальцем.

    Ответить
  3. Unknown

    Забавно, что там стоит копирайт ФСТЭКа. Документы, созданные государством, могут распространяться свободно (если они не классифицированы).

    Ответить
  4. Анонимный

    to Алексей Кузнецов =>

    Алексей, если Вас не затруднит, укажите, пожалуйста, поконкретнее на изменения !

    Ответить
  5. Анонимный

    Beeven

    После вступления в силу 4 части ГК у нас из законодательства исчезли значки копирайта.

    ZZubra

    Ответить
  6. Александр Шелипов

    2 Beeven
    Ну распространяться-то они могут свободно, но указывать государство как автора необходимо обязательно))

    Ответить
  7. Алексей Кузнецов

    Значит так, буду без цитат — по памяти.
    В части специальных и типовых:
    в первоначальном варианте рекомендации копируют приказ ФСТЭК, ФСБ, Минсвязи.

    По новой редакции типовая система и специальная система не являются взаимоисключающими характеристиками. Более подробно можете посмотреть в документе. ФСТЭК, ясен перец, рекомендует пользоваться новой версией. Аргументируя тем, что над приказом уже разбираются в Москве и собираются его приводить в такой же вид.

    В части криптографической подсистемы прошу пардону. Поторопился радоваться.
    По старой редакции (и по выложенному файлу без грифа ДСП) получается что необходимо шифровать данные в каналах связи, на серверах.
    В выписке же присутствовала только строчка о необходимости применения сертифицированных СКЗИ.

    Причем опять же, в самом ФСТЭК при малейшем упоминании слова "криптография" отправляют в ФСБ, а при подробном разъяснении о том, что про СКЗИ указано в их же документах говорят что-то вроде "мы предъявляем требования только к тому что криптографические средства должны быть сертифицированными".

    В общем хрен редьки не слаще.
    Была б возможность обоснованно назвать хоть одну угрозу для ИСПДн первого класса неактуальной, вопросов было бы гораздо меньше.

    Ответить
  8. Алексей Лукацкий

    А что мешает назвать угрозы неактуальными? Например, внутри локальной сети перехват трафика считать неактуальным, тем самым защищая себя от использования СКЗИ внутри сети. Что, собственно, и рекомендует делать ФСБ.

    Ответить
  9. Алексей Кузнецов

    Алексей, собственно сама методика и мешает.
    Сейчас объясню:

    из "порядка о проведении классификации":
    класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

    Из методики определения актуальности:
    высокая опасность — если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

    И не трудно увидеть, что угроза имеющая высокую опасность, независимо от возможности реализации, является актуальной.

    Таким образом получаем минимум — любая угроза влияющая на конфиденциальность (либо другие определённые характеристики) актуальна.

    Ответить
  10. Алексей Лукацкий

    Ну не совсем так, все-таки. Актуальность — это комбинация вероятности и ущерба. Если у вас ущерб не высокий, а средний, то и угроза уже не актуальная становится при низкой вероятности.

    И опять же. Я не обязан использовать только методику ФСТЭК (тем более, что их у нее две как минимум). Я могу взять методику ЦБ. А по ней даже при высоком ущербе, но минимальной вероятности, угроза неактуальная.

    Ответить
  11. Анонимный

    to Алексей Кузнецов

    А зачем обязательно использовать эту ущербную методику? У нас других нет под рукой? или просто лениво поискать/почитать?

    Ответить
  12. Алексей Кузнецов

    А вот тут интересно 🙂

    Отправил недавно запрос в любимый ФСТЭК о разъяснении, что-то вроде "Какой методикой определения актуальности руководствоваться, и чем ограничен мой выбор?"

    Думаю в течении недели будет ответ, оттуда уже плясать.
    В любом случае это лазейка для проверяющих, если захотят прикопаться к неактуальным угрозам.

    Ответить
  13. Алексей Лукацкий

    Огласите потом результаты 😉

    Ответить
  14. Unknown

    А вот вопрос, напрямую не связанный с обсуждаемой темой:
    Удалось ли кому до конца определиться с различиями между лицензируемыми ФСТЭК видами деятельности? Проектирование АС в защищенном исполнении и далее поставка (покупных), монтаж, пусконаладка, сервисное обслуживание,
    СЗИ, это какие из трех последних (http://www.fstec.ru/_razd/_lico.htm) видов деятельности?
    Более подробный по составу за номером IV и номер VI, краткий, но явно упоминающий КИ. Номер V — вообще обо всем

    Ответить
  15. Алексей Кузнецов

    Ну что ж, ответ есть.
    Ссылка на п. 2.9 "Основных мероприятий…" и однозначное толкование о необходимости использования "Методики определения актуальных угроз…"

    Ответить