Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Испытательная лаборатория НПО «ЭШЕЛОН» успешно провела инспекционный контроль ОС ASTRA LINUX для процессоров «БАЙКАЛ»»

01/07/2019


Российская операционная система специального назначения Astra Linux Special Edition(релиз «Севастополь») для процессоров «Байкал-T1» (MIPS) успешно прошла инспекционный контроль на соответствие требованиям безопасности информации к операционным системам типа «А» 2-го класса защиты в системе сертификации СЗИ ФСТЭК России. Инспекционный контроль релиза «Севастополь», как и других релизов защищенной ОС Astra Linux Special Edition, был проведен  испытательной лабораторией НПО «Эшелон».

Реклама





Партнеры





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 ... 9 10 11 12 13 14 След.
RSS
[ Закрыто ] П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Цитата
Гость пишет:
ФСТЭК выпустил новое информационное письмо про защиту ПДн
http://fstec.ru/_docs/infsoob_20_11_2012.doc
http://fstec.ru/_docs/infsoob_20_11_2012.doc
"1. Предполагается, что нормативный правовой акт ФСТЭК России, устанавливающий состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, будет применяться к информационным системам персональных данных, для которых решение о создании системы защиты информации будет принято после вступления в силу указанного нормативного правового акта."

Весьма существенная деталь

Изменено: Dima - 22.11.2012 15:11:59
"При обеспечении защищенности персональных данных, обрабатываемых в информационных системах персональных данных, могут применяться средства защиты информации, в сертификатах соответствия на которые не приведена информация о возможности их использования для защиты персональных данных."


Меня данный пункт заинтересовал :)
Насколько я понял, ПП № 1119 нужно использовать только для ИСПДн, созданных после 1 ноября 2012 г. Или я что-то не так интерпретирую? А в остальных случаях использовать недействующее ПП № 781?
Да нет, почитайте крайнюю статью 152:
2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года. А это (п.11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации. У нас месяц сроку. А вот новую систему защиты делать не надо, раз указано, что "Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий" и этот орган установил, что для существующих ИСПДн сохраняется уже действующая система защиты.
То есть необходимо переделываем классификацию на УЗ и выполняем требования по защите ПП-1119, если они еще небыли выполнены.
а модель угроз и соответственно систему защиты мы оставляем туже? и для этой системы защиты мы руководствуемся уже 58 приказом, то есть классификацию ИСПДн оставляем?

а еще такой вопрос. Если у нас планируется вводится система в июне 2013 года, и мы уже приняли решение о создании для нее системы защиты (но создавать СЗИ будем летом), то мы летом можем руководствоваться 58 приказом, решение о создании мы приняли ведь до акта ФСТЭКа?
Цитата
Сергей С. пишет:
не позднее 1 января 2013 года
Сергей, насколько я понял, требования п. 5, 7.1, 10 и 11, ст.22 предусмотрены типовой формой уведомления. Т.е. правильно ли я понял, что операторы обязаны подать уведомление в Роскомнадзор до 1 января 2013 года?
Изменено: Владимир - 23.11.2012 09:28:23
Не порите горячку)
До 7 декабря ФСТЭК обещалось выложить новый НПА, там и посмотрим. Сейчас принимать какие-то решения, если они не срочные, считаю вообще нецелесообразным.
Потому что не факт, что будет всё так, как мы тут с вами напишем.
Цитата
Настя пишет:
Не порите горячку)
До 7 декабря ФСТЭК обещалось выложить новый НПА, там и посмотрим. Сейчас принимать какие-то решения, если они не срочные, считаю вообще нецелесообразным.
Потому что не факт, что будет всё так, как мы тут с вами напишем.
Ага, особенно ярко возможность того, что не факт всё будет как обещали, выражается в ПП-1119.
Просто, как всегда, люди надеются на лучшее :)
они только проект обещали выложить, а когда его еще утвердят.
Цитата
Владимир пишет:
Сергей, насколько я понял, требования п. 5, 7.1, 10 и 11, ст.22 предусмотрены
типовой формой уведомления. Т.е. правильно ли я понял, что операторы обязаны
подать уведомление в Роскомнадзор до 1 января 2013 года?
В данном случае нужно подать уточнения только касательно указанных пунктов, уведомление целиком подавать излишне.
Цитата
yurgers пишет:
они только проект обещали выложить, а когда его еще утвердят.
То есть в настоящее время выложили проект проекта )
Цитата
Владимир пишет:
То есть в настоящее время выложили проект проекта )
а не подскажите где они его выложили?)
тут http://www.fstec.ru/_razd/_isp0o.htm я у них не нашол
Изменено: yurgers - 23.11.2012 12:24:45
Цитата
yurgers пишет:
а не подскажите где они его выложили?)
http://www.fstectest.com.ru/index.php/ru/novosti/64-deyatelnost/tekushchaya/informatsionnye-i-analiticheskie-materialy/534-informatsionnoe-soobshchenie-fstek-rossii3
вот по этой ссылке лежит
P.S. Имею ввиду информационное сообщение.
Изменено: Владимир - 23.11.2012 12:58:42
Цитата
Владимир пишет:

P.S. Имею ввиду информационное сообщение.
кстати заодно кто нибудь может пояснить правовой статус информационного письма, он ведь никакой Юридической силы не имеет, и на него нельзя ссылаться?

или и после выхода актов от ФСТЭКа можно будет ссылаться на это письмо, если и будет расхождение в их актах?
Цитата
yurgers пишет:
кстати заодно кто нибудь может пояснить правовой статус информационного письма, он ведь никакой Юридической силы не имеет, и на него нельзя ссылаться?

или и после выхода актов от ФСТЭКа можно будет ссылаться на это письмо, если и будет расхождение в их актах?
это просто инф. сообщение, в котором рассказывается о планах. Это не НПА. И на него ссылаться не надо. Ждите новый НПА, а к этому сообщению относитесь как просто к инф. письму (в нём про будущее, что ли, о том, что ожидается от нового НПА).
Цитата
yurgers пишет:
кстати заодно кто нибудь может пояснить правовой статус информационного письма, он ведь никакой Юридической силы не имеет, и на него нельзя ссылаться?

или и после выхода актов от ФСТЭКа можно будет ссылаться на это письмо, если и будет расхождение в их актах?
На него ссылаться нельзя, данным письмом ФСТЭК сообщает, что в ближайшее время будут готовы проекты руководящих документов, которые будут содержать, предположительно, изложенную в сообщении информацию.
Цитата
и этот орган установил, что для существующих ИСПДн сохраняется уже действующая система защит
в каком документе это написано. Дайте пожалуйста ссылку
Цитата
Сергей С. пишет:
и этот орган установил, что для существующих ИСПДн сохраняется уже действующая система защиты.
в каком документе это написано. Дайте пожалуйста ссылку
1. (Хотелось бы развенчать все мифы, которые тут попадались.) 27 июля 2011 года вступил в силу Федеральный закон № 261-ФЗ от 25.05.2011 г., которым были внесены правки в статью 19 закона о персональных данных. Поэтому с 27 июля 2011 года ни 781-е постановление правительства, ни все те акты, которые приняты на его основании и во его исполнение, можно считать утратившими силу. Тот факт, что "официально" оно отменено только 1119-м постановлением, нисколько этого факта не отменяет. Это просто условно принятая формальность.

2. Если говорить о самом 1119-м постановлении, то моё мнение состоит в том, что это постановление (в силу несоответствия федеральному закону) также должно быть отменено. Чисто теоретически, это возможно сделать через Высший Арбитражный Суд РФ. Дело в том, что законодатель определил пять критериев для определения уровней защищённости и требований к защите персональных данных, а правительство установило их на основании трёх критериев: вид деятельности и возможный вред субъекту персональных данных никак не учитываются.

3. Мало того, правительство переложило обязанность, которая прямо возложена на него федеральным законом (я имею в виду оценку возможного вреда субъектам), на операторов, что противоречит статье 4 закона о персональных данных. (На этом основании незаконным является пункт 7 постановления. Опять же, обжаловать можно в ВАС РФ.) Обращаю особое внимание: пункт 5 части 1 статьи 18.1 не предусматривает никаких обязанностей оператора.

4. По поводу актуальных / неактуальных угроз, по-моему, не все совсем верно поняли (или, возможно, не совсем верно понял я). Актуальность угроз бывает не двух видов (актуально / неактуально), а трёх: 1-й, 2-й, 3-й. Третий тип угроз — это, по-русски, человеческий фактор, и он актуален всегда: даже если информационная система закопана где-то в лесу, закопана она человеком, значит человек же — может получить к ней доступ. И такой доступ не будет связан с НДВ СПО или ППО. Так что в этой части всё логично.
Страницы: Пред. 1 ... 9 10 11 12 13 14 След.
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)