Наверное для многих это уже не новость, но все-таки: 12-го (или 11-го) ноября ФСТЭК сняла гриф ДСП с двух своих документов по персданным. Сами документы тоже обновились, но очень незначительно. Скачать их можно с сайта ФСТЭК:
Зашел у меня тут разговор с коллегами, которые работают
Тут в одном закрытом клубе по ИБ зашла речь о регуляторах
Я стараюсь в последнее время не писать о законодательстве
Думаю, многие из вас если не знакомы с законом Гудхарта
Практическая безопасность, описанная в прошлой заметке, —
На портале правовой информации приказ ФСБ от 11.
А что изменилось, скажите пожалуйста?
1) в "Рекомендациях" изменилась часть касающаяся процесса классификации по вопросу типовые/специальные
2) в "Требованиях" изменились требования к криптографической подсистеме ИСПДн первого класса
Есть предположения, что должны были исправиться многочисленные ошибки, но нет времени проверить.
Это всё в сравнении с первичной печатной редакцией документов.
Кстати, в нашем ФСТЭК при разговоре об изменениях говорят, что изменилась только часть про типовые/специальные системы. В остальные изменения приходится им же показывать пальцем.
Забавно, что там стоит копирайт ФСТЭКа. Документы, созданные государством, могут распространяться свободно (если они не классифицированы).
to Алексей Кузнецов =>
Алексей, если Вас не затруднит, укажите, пожалуйста, поконкретнее на изменения !
Beeven
После вступления в силу 4 части ГК у нас из законодательства исчезли значки копирайта.
ZZubra
2 Beeven
Ну распространяться-то они могут свободно, но указывать государство как автора необходимо обязательно))
Значит так, буду без цитат — по памяти.
В части специальных и типовых:
в первоначальном варианте рекомендации копируют приказ ФСТЭК, ФСБ, Минсвязи.
По новой редакции типовая система и специальная система не являются взаимоисключающими характеристиками. Более подробно можете посмотреть в документе. ФСТЭК, ясен перец, рекомендует пользоваться новой версией. Аргументируя тем, что над приказом уже разбираются в Москве и собираются его приводить в такой же вид.
В части криптографической подсистемы прошу пардону. Поторопился радоваться.
По старой редакции (и по выложенному файлу без грифа ДСП) получается что необходимо шифровать данные в каналах связи, на серверах.
В выписке же присутствовала только строчка о необходимости применения сертифицированных СКЗИ.
Причем опять же, в самом ФСТЭК при малейшем упоминании слова "криптография" отправляют в ФСБ, а при подробном разъяснении о том, что про СКЗИ указано в их же документах говорят что-то вроде "мы предъявляем требования только к тому что криптографические средства должны быть сертифицированными".
В общем хрен редьки не слаще.
Была б возможность обоснованно назвать хоть одну угрозу для ИСПДн первого класса неактуальной, вопросов было бы гораздо меньше.
А что мешает назвать угрозы неактуальными? Например, внутри локальной сети перехват трафика считать неактуальным, тем самым защищая себя от использования СКЗИ внутри сети. Что, собственно, и рекомендует делать ФСБ.
Алексей, собственно сама методика и мешает.
Сейчас объясню:
из "порядка о проведении классификации":
класс 1 (К1) — информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
Из методики определения актуальности:
высокая опасность — если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
И не трудно увидеть, что угроза имеющая высокую опасность, независимо от возможности реализации, является актуальной.
Таким образом получаем минимум — любая угроза влияющая на конфиденциальность (либо другие определённые характеристики) актуальна.
Ну не совсем так, все-таки. Актуальность — это комбинация вероятности и ущерба. Если у вас ущерб не высокий, а средний, то и угроза уже не актуальная становится при низкой вероятности.
И опять же. Я не обязан использовать только методику ФСТЭК (тем более, что их у нее две как минимум). Я могу взять методику ЦБ. А по ней даже при высоком ущербе, но минимальной вероятности, угроза неактуальная.
to Алексей Кузнецов
А зачем обязательно использовать эту ущербную методику? У нас других нет под рукой? или просто лениво поискать/почитать?
А вот тут интересно 🙂
Отправил недавно запрос в любимый ФСТЭК о разъяснении, что-то вроде "Какой методикой определения актуальности руководствоваться, и чем ограничен мой выбор?"
Думаю в течении недели будет ответ, оттуда уже плясать.
В любом случае это лазейка для проверяющих, если захотят прикопаться к неактуальным угрозам.
Огласите потом результаты 😉
А вот вопрос, напрямую не связанный с обсуждаемой темой:
Удалось ли кому до конца определиться с различиями между лицензируемыми ФСТЭК видами деятельности? Проектирование АС в защищенном исполнении и далее поставка (покупных), монтаж, пусконаладка, сервисное обслуживание,
СЗИ, это какие из трех последних (http://www.fstec.ru/_razd/_lico.htm) видов деятельности?
Более подробный по составу за номером IV и номер VI, краткий, но явно упоминающий КИ. Номер V — вообще обо всем
Ну что ж, ответ есть.
Ссылка на п. 2.9 "Основных мероприятий…" и однозначное толкование о необходимости использования "Методики определения актуальных угроз…"