Время снятия сливок на поляне ПДн кончилось?

Многие, кто следит за этим блогом, сталкивались с моим мнением, что интеграторы (не все, но многие) в 2008-2009-м годах активно запугивали своих клиентов страшилками про кару небесную за невыполнение требований ФСТЭК в области защиты ПДн. Клиенты, купившиеся на это, обращались к интеграторам и следовали всем их рекомендациям, даже не удосужившись подумать, а стоит ли выполнять все то, что так рекламируют интеграторы. Может быть стоит творчески подойти к ключевым вопросам защиты ПДн — классификации, обезличиванию, уходу по 687-е постановление и т.п.

Не прошло и двух лет, как ситуация стала меняться 😉 Уже и ФСТЭК сменил свои требования на более адекватные. Вот и интеграторы стали публично рассказывать, как оптимизировать свои усилия по приведению себя в соответствие с четверокнижиями, трехкнижиями и другими …книжиями. Один из последних примеров — рекомендации Информзащиты по снижению «классности» ИСПДн. В целом ничего нового (все это можно найти у меня в блоге на протяжении последних  пары лет), но важен сам факт признания такой возможности от одного из воротил рынка ПДн, который к тому же еще и лицензиат ФСТЭК.

Но в целом это закономерно. Сегодня запугивать кого-то и играть на незнании и отсутствии информации уже поздно. Хотя бы потому, что уже появляются не просто отдельные факты о том, что при проверках регуляторы отходят от своих же официальных рекомендаций и, например, соглашаются с отказом не использовать классы К1-К4, а целые отраслевые рекомендации, согласованные с регуляторами. Например, рабочая группа ЦБ/АРБ, в которую вхожу и я, опубликовала на сайте АРБ эти документы в свободном доступе:

Аналогичные по сути (но в бОльшем количестве) документы были разработаны в рамках НИР «Тритон». Они также согласованы с регуляторами и облегчают жизнь операторам связи в деле защиты ПДн.

    Оцените статью
    Бизнес без опасности
    Есть что добавить? Добавьте!

    Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

    1. A

      К сожалению "Методика оценки соответствия" — битая ссылка на документ. Есть другая ссылка?

      Ответить
    2. Aleks305

      Алексей,не знаете для энергетики, а именно для энергосбытовой отрасли никто не удосужился такую работу провести???

      Ответить
    3. Анонимный

      Я тут недавно пытался софтлайновский вебинар пытался слушать по теме. После всякой чуши про необходимость лицензии для защиты я выключил нафиг. Продолжается этот цЫрк з коняме.

      Ответить
    4. Алексей Лукацкий

      A: Завтра будут последние версии проектов.

      Aleks305: Не знаю.

      Ответить
    5. arkanoid

      http://ruscrypto.ru/netcat_files/File/ruscrypto.2010.005.zip — тем временем на ruscrypto читают вот такие доклады 😉

      Ответить
    6. Алексей Т.

      Ждем последних версий проектов БР. А вот по поводу снятия сливок Вы не правы — банки ждали как раз рекомендаций БР, теперь интеграторы начнут окучивать Банки на соответствие, а разрабатываемых и внедряемых документов там очень много (38 в рекомендациях с криптозащитой). Конечно разумности добавилось, но рамки отмененного 4-х книжия дают о себе знать. 🙂

      Ответить
    7. Unknown

      Не надо торописсса — посмотрите раздаточный материал сегодняшей конференции в Leta, сама Лета, Рейнвокс и другие бульбуляторы-интеграторы — аттестация, аттестация, аттестация… Бла-бла-бла. У некоторых и цены есть 1,2 млн за 2 месяца — это адекватная цена? В обмен на это дадут энное количество бумажек из базы шаблонов, за мои же деньги их "СОГЛАСУЮТ" с эфемерным регулятором — ну и что? Так что самые жирные сливки еще впереди.

      Ответить
    8. Алексей Лукацкий

      Алексей Т.: Окучивать на соответствие могут не все интеграторы, а "допущенные" 😉 Те, которые в ABISS входят. И учитывая тесные контакты банков с ЦБ, вариантов "срубить бабла" за содействие в согласовании с регулятором теперь будет гораздо меньше. Потому что вот оно ГУБЗИ, вот его руководство… Всегда можно спросить, что и как. Да и АРБ еще есть. Никаких непоняток, как и с кем общаться (как с ФСТЭК) нет.

      Alex: Это из запасников материалы, напечатанные еще ДО 58-го приказа. У нас (в Cisco) тоже такие есть (только в электронном виде) 😉 Правда, мы их уже не раздаем.

      Ответить
    9. Анонимный

      Сам процесс "снятия сливок" на мой взгляд связано с формулой, в которую входят:
      — наличие источника(как правило бюджет)
      — наличие структуры (людей которые могут организовать "утечку" из источника)
      — наличие "ширмы" демонстрирующей "бурную деятельность"
      — наличие причины/условия для начала процесса.

      При этом чем менее социально значимы условия, или чем они мутнее — тем вероятность "утечек" выше…

      Ну и в том же духе…
      Подходит ли к концу процесс снятия сливок ?! Скорее прошла первая волна — вкусненькая. А по второму разу стричь как то неприлично…

      Ответить
    10. Алексей Т.

      Соглашусь с Родыгиным — сливки остались до сих пор, конечно процесс "снятия" затруднился и ограничивается допущенными (входящими в Abiss и т.д.). В общем БР использует 152 ФЗ для продвижения СТО БР (посмотрим, выйдет ли это дешевле, чем формальное выполнение требований 152-ФЗ) и посмотрим, насколько реализация СУИБ и проведение аудита повысит защищенность ИСПДн банков. 🙂 Кстати, откуда информация о "содействии в согласование с Регуляторами"? По-моему такими вещами уже давно никто не занимается понимая, что согласовывать не обязательно.

      Ответить
    11. Алексей Лукацкий

      Снятие "тех" сливок кончилось. Теперь придется работать 😉 А про согласование в регионах часто говорят.

      Ответить
    12. Алексей Т.

      Боюсь Алексей, что "работать" в отрасли разучились. 🙂

      Ответить