NIST публикует каталог мер защиты ПДн

Вот за что мне нравится NIST, так это за их динамичность в области разработки нормативных документов по ИБ. Есть у них SP 800-53 по безопасности федеральных информационных систем, первая версия которого была выпущена в начале 2000-х годов, примерно в одно и тоже время с СТР-К. Правда, документы, разработанные по разные стороны океана, также отличаются как небо и земля. Но дело не в этом. За эти 9 лет, NIST выпустил уже 3 редакции SP 800-53, пополняя его новыми рекомендациями по защите облаков, виртуализации, АСУ ТП и т.д. (к концу 2011 года планируется анонсировать 4-ю версию). И вот вчера NIST выпустил проект (и ведь не скрывают они проекты своих документов, приглашая всех к обсуждению) нового приложения к SP 800-53 — Appendix J — Privacy Control Catalog.

Данный каталог защитных мер для ПДн аккумулирует последние наработки в этой области как в самих США, так по всему миру. Причем каталог составлен грамотно — перечислены решаемые задачи и меры и описаны рекомендации по их реализации; причем совсем необязательно техническими мерами.

А у нас что? НИЧЕГО! Необновляемый уже 10 лет СТР-К (хотя в этом году обещали)… Базовая модель угроз, списанная с чьей-то диссертации 90-х годов… Приказ 58, скопированный с требований по гостайне… Колоссальный прогресс.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Алексей Краснов

    А "Базовая модель угроз" разве не с книги Ильи Медведовского "Атака через Internet" списана?

    Ответить
  2. Unknown

    Копипастеры на службе государства 🙁 http://anvolkov.blogspot.com/2011/07/blog-post_20.html

    Ответить
  3. Анонимный

    Самая стабильная роль — роль "троешника" потому что всегда есть с кого списывать…
    Для тех кто заинтересован в безопасности может использовать любой документ(дополнительно?)…

    Ответить
  4. Анонимный

    Вот обратите внимание — защита ПДн — это не отдельный какой то процесс и свод мероприятий (как у нас).. а осуществляется в рамках внедрения стандарта. Его подраздел, так сказать.
    Это, имхо, и есть идеал.
    Стандарт(ы)есть, выбирай любой, хоть ИСО27тысяч, хоть NIST. И в рамках его реализации и защищай ПДн.. наряду с остальным.
    Потому организации, внедряющие стандарты (ИСО, банковский и др.) встраивают доки по защите ПДн в доки стандарта, а не отдельно.

    Ответить
  5. Unknown

    Так это и в БС10012 так, и это ПРАВИЛЬНО. Кстати классный документ. Все как надо, по полочкам, с остальными нормативами четко синтегрировано, PII присуцтвует. Загляденье! Умеют же…

    Ответить
  6. Unknown

    >встраивают доки по защите ПДн в доки стандарта, а не отдельно.

    И отдельно рисуют пустышку для регуляторов.

    Ответить
  7. Сергей Борисов

    Алексей, спасибо за ссылку на документ.

    А NIST у них точно рекомендательный? Даже для самых федеральных гос. учреждений?

    Ответить
  8. Алексей Лукацкий

    Для госов обязательный FISMA и FIPS200

    Ответить
  9. Александр Бодрик

    Если NIST не будет делать стандарты то его спросят — на что идут деньги налогоплательщиков? Потому что деньги эти кем-то заработанные, а деньги полученные ФСТЭК перераспределенные с выкачки нефтегаза. И получает она их чисто за лояльность.

    Ответить
  10. Анонимный

    Уважаемые эксперты по защите персональных данных!

    У меня возник вот такой вопрос. Наше государство в лице регулирующих органов принимает решение за нас относительно того, как должны защищаться персональные данные и осуществляет контроль за сохранением конфиденциальности этих данных. В месте принятия решения должна возникать и ответственность за его последствия.

    В каких законах эта ответственность регуляторов прописана? Сколько чиновников из регулирующих органов ответили своими теплыми местами за то, что наши данные (зачастую из баз, принадлежащих государству) продаются на рынках?

    Ответить