Лежит у меня перед глазами официальное письмо ФСТЭК в одну отечественную организацию, в котором она (т.е. ФСТЭК) отвечает на ряд вопросов. Не буду пересказывать все 5 страниц этого манускрипта, коснусь только ключевых моментов:
- Четвере документа ФСТЭК «содержат информацию ограниченного доступа, не являются нормативными правовыми актами и не требуют особой процедуры их опубликования«. Где там информация ограниченного доступа? И как быть с требованием наличия лицензии на ТЗКИ, которая меняет правовой статус оператора ПДн и, следовательно, требует выполнения ПП-1009 (которое в письме, кстати, тоже упоминается, но в контексте «Приказа трех»).
- «В пакете документов ФСТЭК сохранена преемственность подходов ранее разработанных документов, а для ряда классов информационных систем они значительно упростились«. Про преемственность — полная правда. Документы по гостайне или коммерческой тайне очень похожи на четверокнижие. А про упростились, видимо ФСТЭК имеет ввиду 4-й класс ИСПДн 😉
- Методички ФСТЭК утверждены в феврале 2008 года, т.е. до вступления в силу Постановления Правительства РФ от 5 марта 2009 г. о коррупциогенности и «не требуют проведения эксперты в целях выявления в них положений, способствующих созданию условий для проявления коррупции«. Согласен, если бы ФСТЭК не изменял свои документы уже несколько раз. Правда, каждый раз изменения касаются всего, кроме даты подписания 😉 Она по-прежнему — февраль 2008 года.
- «В настоящее время ФСТЭК России проводит работу по приведению в соответствие с ФЗ-294 документов ФСТЭК по вопросам проведения государственного контроля и надзора«. Хотелось бы посмотреть 😉
- Для аттестации ИСПДн 1, 2 и 3-го распределенного класса можно привлечь любого лицензиата ФСТЭК.
Вот такое письмо. Написано согласно законам бюрократии — текста много, пользы ноль. Зато формальности соблюдены ;-(
Под информацией ограниченного доступа ФСТЭК имееет ввиду мероприятия по защите от ПЭМИН.
По 4-му пункту на InfoSecurity ФСТЭК заявил, что в течение нескольких недель на сайте будут опубликованы открытые версии документов, точнее целых 2 ;-
). При чем это будут не отдельные методические документы, а выписки из ДСП-шных, в которых исключены мероприятия по ПЭМИН (оставлены ссылки на ДСП). Также заявили, что решают вопрос с регистрацией в Минюсте.
PS: вообще "порадовала" позиция регуляторов, которую можно свести к следующему: разработали отличные документы, выполняйте, не нравится — жалуйтесь.
Ну с МинЮстом они с весны решают 😉 Но они не пройдут проверку на коррупциогенность ;-(
2 Алексей
Вот еще один вариант — депутатский запрос на эту самую проверку…
Мысль! Я подумаю над этим
Был вчера на конференции "Персональные данные", организованные Groteck. НА первый вопрос про наличие лицензии однозначный ответ был такой, что если оператор ПДн привлекает интегратора с лицензией, то самому оператору лицензия не нужна (конечно лишний повод для коррупции, но все же ;-)).
НА остальные вопросы ответа наверное нет и не будет.
По результатам мероприятия сделал вывод, что никто из "коммерческих интеграторов" до сих пор не смог разобраться с требованиями, не реализовал серьезных проектов по защите ПДн (Элвис, аттестовавший 68 объектов за 1,5 месяца не в счет).
Кстати, запомнилось выступление Леты, которая рекламировала свои "реализованные проекты по защите ПДн". НА первом же вопросе они раскололись, что одну систему они обследовали, а вторую задекларировали соответствие.
А вообще грустная картина — грамматические ошибки в слайдах и докладах, в каждом докладе интеграторы пытаются сформировать свой личный порядок защиты… Лично мне понравились учебные заведения — Академия АйТи и АИС.
Тоже был вчера на семинаре по ПД,там присутствовал представитель РКН. Он заявил, что у них на сайте будут опубликованы 4 методички ФСТЭК, так как с них снят гриф ДСП. Однако я порыл сегодня их сайт, нашел только названия от методичек 🙂
Алексей, а Вы как человек, имеющий отношение к крупнейшему иностранному вендору, который имеет серьезную партнерскую программу по продвижению себя на рынок:
1. Сравнте эту программу и её прозрачные требования с требованиями (положением по лиценизврованию и тп) наших регуляторов, в т.ч. уровни, компетенции и т.п.
2. Оцените, как наши регуляторы могут за оставшиеся три месяца охватить своей "партнерской" программной все 7млн потенциальных клиентов.
3. Оценить можно еще и так: сколько готовится специалистов по аттестации и сколько их реально нужно, ну например в год.
4. Вывесте эти сведения и докладывайте в ваших выступлениях.
5. Можно собраться крупнейшими вендорами с открытым письмом Президенту, как это модно сейчас, и изложить эти наработки.
Вот это было бы реально интересно и, наверное, сдвинуло бы в реальную плоскоть эту работу. Действительно, хочется работать качественно и эффективно.
Алексей, точно такое же сравнение можно привести с процессом стандартизации в ISO посредством множества участников, голосование, открытое редактирование, проекты, коалиции. Всем понятно, что такое безопасность государства и рядом вопросов нужно заниматься в закрытом режиме, но ведь речь идет об информации простых людей, граждан, а также ведь и тех, кто из-за рубежа собирается к нам ее передавать, чтобы работать здесь, в том числе и Ваши коллеги. Уверен, конечно, что такие сравнения уже делались и неоднократно.
На той же конференции я задал вопрос про коррупционность и вывешивание на сайте проекта в соответствии с ПП1009. Волчинская Елена Константиновна сказала так: ФСТЭК направил свои документы в МинЮст с целью получения заключения, что это не нормативные документы. Так что дума уже озаботилась. Все зависит от МинЮста. Ждем.
А вообще с точки зрения защиты — все останется как есть + СОКА (подскажите где купить, кроме Аргуса).
Вообще-то она же на свое мыло ждет конкретных предложений по внесению изменений в статьи ФЗ. Кто желает вложить свою лепту имеет смысл написать.
ZZubra
CI: Письмо Президенту уже есть. И не только ему. И не только письмо. И рассчеты 😉 Только не все публично делается 😉
ZZubra: С ЕК уже активно работает сразу несколько рабочих групп, в которых я участвую 😉
Уточняю по конференции "Персональные данные".
1. ФСТЭК утверждает, что готовится опубликовать выписки из ДСПшных документов. Они должны появиться в ближайшее время.
2. Он же говорит, что готовит новые версии этих документов. И этого следует ожидать к концу года.
3. ФСБ говорит о том, что готовит новые версии своих доков. И тоже где-то к концу года (кажется).
Насколько я привык, эти сроки следует считать, как всегда, очень оптимистичными, и мгновенно ожидать этих изменений не стоит. И что Вы там у них на сайте ищете? Авось к весне разродятся.
В связи с этим некоторые "лаборатории" рекомендуют вообще не торопиться. Ато зажмем сами себе гайки, да еще лишние деньги вложим, а тут раз — и послабление!
Думаю, кардинальных послаблений ожидать не приходится."Не дождетесь!", как говаривал небезизвестный…
Скорее всего в настоящее время наиболее правильный сценарий: заявиться как оператор персданных (если не успел) и сделать вид, что что-то делаешь. Например, собрал нормативные акты, прикинул классификацию, встал в очередь на аттестацию… При прикидочных проверках пока этого хватает. Они видят, что оператор чешется и пока считают этого достаточным. Ежели, конечно, не заказная проверка. Но это уже выходит за рамки ИТ.
Но делать-то когда-то все же придется. Так что дерганья на уровне слушаний в думе и писем президенту смысл имеют. А еще, похоже, будут приветствоваться инициативы отраслевые. Мне кажется, на конференции регуляторы об них благосклонно отзывались (кажется). Глядишь, там можно повлиять и сформулировать по уму.
Во всем этом есть одна глупость: про реальную защиту персданных-то все забыли. Разговоры идут только о "подстилке", кто-то только банально пиарится. Блин!
Уточняю по конференции "Персональные данные".
1. ФСТЭК утверждает, что готовится опубликовать выписки из ДСПшных документов. Они должны появиться в ближайшее время.
2. Он же говорит, что готовит новые версии этих документов. И этого следует ожидать к концу года.
3. ФСБ говорит о том, что готовит новые версии своих доков. И тоже где-то к концу года (кажется).
Насколько я привык, эти сроки следует считать, как всегда, очень оптимистичными, и мгновенно ожидать этих изменений не стоит. И что Вы там у них на сайте ищете? Авось к весне разродятся.
В связи с этим некоторые "лаборатории" рекомендуют вообще не торопиться. Ато зажмем сами себе гайки, да еще лишние деньги вложим, а тут раз — и послабление!
Думаю, кардинальных послаблений ожидать не приходится."Не дождетесь!", как говаривал небезизвестный…
Скорее всего в настоящее время наиболее правильный сценарий: заявиться как оператор персданных (если не успел) и сделать вид, что что-то делаешь. Например, собрал нормативные акты, прикинул классификацию, встал в очередь на аттестацию… При прикидочных проверках пока этого хватает. Они видят, что оператор чешется и пока считают этого достаточным. Ежели, конечно, не заказная проверка. Но это уже выходит за рамки ИТ.
Но делать-то когда-то все же придется. Так что дерганья на уровне слушаний в думе и писем президенту смысл имеют. А еще, похоже, будут приветствоваться инициативы отраслевые. Мне кажется, на конференции регуляторы об них благосклонно отзывались (кажется). Глядишь, там можно повлиять и сформулировать по уму.
Во всем этом есть одна глупость: про реальную защиту персданных-то все забыли. Разговоры идут только о "подстилке", кто-то только банально пиарится. Блин!
Уточняю по конференции "Персональные данные".
1. ФСТЭК утверждает, что готовится опубликовать выписки из ДСПшных документов. Они должны появиться в ближайшее время.
2. Он же говорит, что готовит новые версии этих документов. И этого следует ожидать к концу года.
3. ФСБ говорит о том, что готовит новые версии своих доков. И тоже где-то к концу года (кажется).
Насколько я привык, эти сроки следует считать, как всегда, очень оптимистичными, и мгновенно ожидать этих изменений не стоит. И что Вы там у них на сайте ищете? Авось к весне разродятся.
В связи с этим некоторые "лаборатории" рекомендуют вообще не торопиться. Ато зажмем сами себе гайки, да еще лишние деньги вложим, а тут раз — и послабление!
Думаю, кардинальных послаблений ожидать не приходится."Не дождетесь!", как говаривал небезизвестный…
Скорее всего в настоящее время наиболее правильный сценарий: заявиться как оператор персданных (если не успел) и сделать вид, что что-то делаешь. Например, собрал нормативные акты, прикинул классификацию, встал в очередь на аттестацию… При прикидочных проверках пока этого хватает. Они видят, что оператор чешется и пока считают этого достаточным. Ежели, конечно, не заказная проверка. Но это уже выходит за рамки ИТ.
Но делать-то когда-то все же придется. Так что дерганья на уровне слушаний в думе и писем президенту смысл имеют. А еще, похоже, будут приветствоваться инициативы отраслевые. Мне кажется, на конференции регуляторы об них благосклонно отзывались (кажется). Глядишь, там можно повлиять и сформулировать по уму.
Во всем этом есть одна глупость: про реальную защиту персданных-то все забыли. Разговоры идут только о "подстилке", кто-то только банально пиарится. Блин!
Я прокомментирую:
1. Выписки уже есть. Завтра (07.10.09) в блоге один из таких примеров будет описан.
2. Новые документы тоже есть. Но они не смогли их провести через МинЮст и сделали просто. Внесли изменения в первую версию, а дату оставили ту же.
3. Про ФСБ я в блоге уже писал — сами документы уже готовы. К декабрю хотят пройти все согласования. Если успеют.
4. "Дерганья" в Думе намечены на 20-е октября. Участвует много заинтересованных лиц. Может и пробьют лобби регуляторов в части вопросов.
5. Отраслевые наработки тоже планируются. Как минимум, у банкиров и операторов связи. По другим пока сложно говорить.
На самом деле, что думает (и думает ли вообще)ФСТЭК не так уж и важно. Важно что оно делает. А делает оно свое дело (если исходить из интересов дела и государства) очень и очень плохо. По крайней мере в области защиты ПДн. Это пресловутое четырехкнижие, что называется, "без слез читать нельзя". Это образчик словесного жонглирования и терминологического эквилибра сдобренного грамматическими ошибками. Про методологию этих "документов" даже и говорить совестно. И что говорить, если основным каналом утечки информации в ИСПДн объявляется акустический, в то время как человек в состав ИСПДн не входит по определению. Видимо, по мнению авторов этих "опусов", "компы" с "компами" говорят. Остальное — в том же духе.
По всей видимости, именно поэтому они и стали ДСП. И подписал их не председатель, а его зам.
По уму, всем, что касается защиты ПДн: законом, постановлениями Правительства, НМД ФСТЭК, — должна была бы заняться Генеральная прокуратура, а не специалисты в области защиты информации. Даже поверхностный сравнительный анализ европейского, американского и российского законодательств, приведенный в Вашей презентации, наилучшее тому подтверждение.
Все это, перефразируя (уточняя, дополняя) одного известного ""героя" НАШЕГО времени", можно охарактеризовать так: "Хотели как лучше (для себя и своих лицензиатов), а получилось как всегда ("через пень-колоду").
Не исключаю, что они "протащат" какой-нибудь вариант через МинЮст. Но качество его будет тем же. Нельзя прыгнуть выше своей головы. Писать-то их будет все тот же "стихоплет" квазинаучным языком, без соблюдения элементарных правил русского языка, с полным пренебрежением логикой и без должного понимания сути проблемы.