ФСТЭК

Совершенно случайно наткнулся на сайте ФСТЭК на проект «Концепции аудита ИБ систем информационных технологий и организаций», который разработан НПФ Кристалл (они же основные разработчики стандарта Банка России по ИБ). Дословно я не вчитывался, но беглый просмотр документа показывает, что читать западные стандарты у нас научились.

Был я давеча на конференции, на которой выступал заместитель начальника управления ФСТЭК по одному из регионов и рассказывал он, как ни странно, про персональные данные. Послушав его доклад (забавно, что свою презентацию после доклада он потребовал удалить с компьютера), я лишний раз убедился, что даже главный регулятор по ИБ в России не знает законодательства, инициированного […

Итак коснемся третьего из рассматриваемых документов ФСТЭК — «Базовой модели угроз безопасности персональных данных». Этот стастраничный документ поражает… своим отставанием от современной ситуации лет на 10-15. Когда я только начинал читать этот манускрипт, у меня сложилось впечатление, что все это я уже где-то читал.

Как вы знаете ФСТЭК разработал 4 документа по защите персональных данных, самым интересным из которых является документ «Основные мероприятия по защите персональных данных, обрабатываемых в информационных системах персональных данных». Именно в данном документе описываются конкретные технические меры защиты применительно к информационным системам, классифицированным

Итак, не без помощи добрых людей, удалось раздобыть 4 документа ФСТЭК, которые расширяют уже неоднократно упоминаемый мной «приказ трех». Прочтя их, решил поделиться кратким анализом. Итак, документ первый — «Методика определения актуальных угроз». Начну с того, что методика ориентирована в т.