Уже не раз поднимался вопрос о соответствии классов ИСПДн более знакомому понятию АС, которые было прописано еще в 92-м году в соответствующем РД ФСТЭК. И вот, наконец-то, ФСТЭК разродилась в своих методических рекомендациях таблицей соответствия классов ИСПДн и АС.
Зашел у меня тут разговор с коллегами, которые работают
Тут в одном закрытом клубе по ИБ зашла речь о регуляторах
Я стараюсь в последнее время не писать о законодательстве
Думаю, многие из вас если не знакомы с законом Гудхарта
Практическая безопасность, описанная в прошлой заметке, —
На портале правовой информации приказ ФСБ от 11.
Не плохо бы добавить столбцы с антивирусной подсистемой…
Иначе складывается впечатление что классы напрямую соответствуют…
Алексей — у Вас есть документы, разработанные ЦБ — временный порядком безопасности ПДн для кредитных организациях??
swan'у: Не плохо бы 😉 Но в документах ФСТЭК этого не было 😉
Анонимному: Есть. Только он не для кредитных организаций, а для самого ЦБ.
2 Алексей
да уж… Кстати еще смущает привычка ФСТЭК требования писать в режиме дополнений. Требование 2 классу это требования 3 + такие то.. собирать все требования для класса неудобно. Но вот на wikisec.ru выкладываем требования уже собранные для удобства. (в поиске wikisec нужно ввести "Требования к 1 классу ИСПДн")
Смысл есть тогда в этих временных порядков? если документы ФАПСИ выше.
Анонимному: Вы о чем? О каких временных порядках?
Да, пришел я в свою районную поликлинику, попытался представить себе как она преобразится после внедрения СЗИ ИСПДн класса 1В. И не смог.
Ну не может же она стать секретным объектом со строгим пропускным режимом.
Мне кажется, нужно ФСТЭКу разработать типовой проект СЗИ для поликлиники. Для этого ему нужно прийти в росздранадзор, попросить у них концепцию информатизации поликлиник, больниц, диспансеров, ФОМСа, страховых компаний (если конечно она есть), взять последние техрегламенты и стандарты. После того как типовой проект готов, составить сметы, умножить на количество поликлиник в стране (а лучше рассчитывать на количество врачей-терапевтов или еще лучше на пациентов) и пойти в минфин, а также на думские чтения 20 октября, чтобы огласить депутатам цифры. По крайней мере будет экономия на том, что ФСТЭК это сделает 1 раз и для всех, лицензиаты только внедрять и аттестовать будут. А в идеальном случае, думцы, минфин и другие лица увидят, что фстэк что-то нереальное разработал, и придумают, что сделать с этим.
Хорошо пишете. Надеюсь, когда-нибудь увижу нечто подобное и для своем блоге…