Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2 3 4 5 ... 14 След.
Ответить
RSS
П-1119 по ПДн, Постановление от 1 ноября 2012 г. №1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Цитата
Tolian пишет:
Как устанавливаем? В голове держим это? или составляем документ? требований об этом нет.
Я как руководитель организации, не важно какой, в голове решил будет она такого уровня и все. Это никто не может оспорить и потребовать документ об установленном уровне т.к. нет требования.
Пример: Регулятор проводит невыездную проверку. Запрашивает у вас документы, которые определяют уровень защищенности. Им без разницы в каком виде это будет, им нужно, чтобы это было. Слушать они Вас также не станут. Вы им передали комплект документов, на основании их запроса, они рассмотрели, если чего-то нет - вынесли предписание на устранение недостатка. Вот в такой ситуации как Вы им будете доказывать, что в голове Вы определили угрозы и определили уровни защищенности?
Лично на мой взгляд данный пример набор слов и не более того.


Цитата
Владимир пишет:
Регулятор проводит невыездную проверку
Это что за проверка и проверка чего? ссылка на нормативный правовой акт.


Цитата
Владимир пишет:
Запрашивает у вас документы, которые определяют уровень защищенности.
Это какие такие документы? Защищенность чего? состояние технической защиты?



Цитата
Владимир пишет:
Им без разницы в каком виде это будет, им нужно, чтобы это было.
Проверки у нас в стране так не проводятся, советую вам к юристам обратится для начала.



Цитата
Владимир пишет:
Вы им передали комплект документов, на основании их запроса, они рассмотрели, если чего-то нет - вынесли предписание на устранение недостатка.
На каком основании они такое могут требовать? не путайте свои желания и то как работают регуляторы.



Цитата
Владимир пишет:
Вот в такой ситуации как Вы им будете доказывать, что в голове Вы определили угрозы и определили уровни защищенности?
Откуда вы взяли такие размышления? Мультиков насмотрелись? Задайте свои вопросы юристу много нового узнаете.
Цитата
Tolian пишет:
Как устанавливаем?
ФЗ 152, ст.19
2. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;



Т.е. вы:
1) определяете угрозы
2) применяете меры для защиты от этих угроз

Есть Базовая модель угроз, есть Методика определения актуальных угроз, в которых написано, как определять угрозы. Если их отменят, то будут значит другие документы, их заменяющие.


Кстати,
Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Т.е. уровень защищенности - это не изначальный класс, это вообще не класс получается. Это уровень, который достигается после применения орг. и тех. мер защиты..

Раньше сначала определялся класс, потом требования к нему (в зависимости от акт. угроз), потом СЗИ.
Теперь угрозы, в зависимости от них требования, затем УЗ, затем СЗИ.


Как-то так..
Изменено: Настя - 07.11.2012 13:49:08
Добрый день. Возник такой вопрос, вытекающий из требования:
Цитата
Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз
есть ли какие-либо ограничения по применению СЗ для различных уровней защищенности?
Просто раньше СЗ сертифицировались для применения в ИСПДн определенного класса, как быть теперь?
Цитата
Настя пишет:
определением угроз
Что под этим понимается?
В какой форме?
Данный вопрос не раскрыт в ФЗ-152 и ПП1119, пока это не будет раскрыто о чем то гадать ....

Цитата
Настя пишет:
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
Необходимость мер вы как будите оценивать? Согласно чему? Базовой модели угроз (а это вообще что? документ? ссылку на документ в сети не надо, на сайте ФСТЭКа он есть. Любой документ (если это документ) имеет реквизиты. А у этого ... я не вижу. если это документ его реквизиты пожалуйста?
самое унылое, что защита строится для регуляторов, а не для защиты.( рассматривайте угрозы, которые действительно будут актуальны. Продуманная и правильно настроенная система защиты очень неплохо помогает в большой компании.
и не нужно ничего гадать, совместите приятное с полезным. всем и так ясно, что ничего не доработано, зачем так спорить усердно..
об этом говорят и спорят люди, посерьёзнее вас.
Изменено: Влдаислав - 07.11.2012 14:59:14 (дополнение)
Цитата
Tolian пишет:
Лично на мой взгляд данный пример набор слов и не более того.
Окей! Выездная проверка. Вам приходит приказ о подготовке ряда документов, которые необходимо представить регулятору, в котором вышеперечисленный! Вы в ответ на приказ напишите или лучше на словах скажите, что это всего лишь набор слов и не более того!! Желаю вам успехов, в вашем нелегком деле.
Цитата
Tolian пишет:
На каком основании они такое могут требовать? не путайте свои желания и то как работают регуляторы.
Просветите же меня, как проводятся проверки?
Да

Цитата
Владимир пишет:
Tolian
И в дополнение, спорить не хочется, т.к. правильно сказал Владислав, документов куча и они все не доработаны. Если есть желание такую же резвость проявлять при проверке и доказывать, что это регуляторы виноваты в том, что вы не можете выполнить их требования, то это хорошо :) Только потом прошу отписаться о результатах споров, мне, да и наверное многим интересен результат :-)
До выхода подзаконных актов это постановление мертвое. Так как базой всего является модель угроз:
2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».
ст.19 ч. 5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

Сколько существует моделей? Банки, пенсионный, медики, связь, может что упустил, ну пусть еще 2-3 модели. Что делать остальным? Госорганы - аууу...



А банковская модель ИМХО наиболее адекватная, актуальность угрозы определяется каждым банком самостоятельно на основе оценки риска, а вот тут и заложен ущерб субъекту.

Подскажите, что же теперь делать с текущими контрактами, договорами? Как выполнять условия? Как обосновать, что ПП 1119 без новых НПА не применимо?
Коллеги. Не надо ждать от документа внятности. Подобные вещи пишутся по известному алгоритму.
1. В законе упоминаются классы защищённости (как они туда попадают это отдельная детективная история)
2. Правительству нужен документ раскрывающий это понятие и требования к защищённости (писать это всем лениво)
3. Ведомство (в лицу руководителя) стучит себя пяткой в грудь и объявляет "Я напишу!" (писать опять же лениво)
4. Находят бедолагу, который путём компиляции некоторого набора нормативно-технических документов компилирует некий текст (этот вариант читать можно, он достаточно технологичен, но абсолютно не похож на нормативный документ)
5. Документ начинают править (причём чем позднее правки, тем меньше понимания у правящего о чём собственно речь)
6. В финале (в аппарате правительства) из него выкидывают всё что не понимают (отсюда мистические журналы и пр.) и принимают постановление.
Итого, получаем вместо целостной картины и связного документа набор букв и слов, которые канцелярским языком описывают нечто простое, что изначально предлагалось.

По существу заметим, что данный документ отменяет только 781 постановление, классификацию систем и пр. никто пока не отменял, по логике должны отменить, но когда это случится неизвестно (обсуждаемое постановление ожидалось в январе 2012).

Поменялось ли что либо принципиально. Для тех кто шёл по стандартному пути - практически ничего. Описал систему (пункт 5 постановления), описал злоумышленника (согласно по п. 7. на основе нормативной базы ФСТЭК и ФСБ), описал угрозы (опять же п. 7) , актуализировал угрозы (вот это настоящее искусство), на основании актуальных угроз определил уровень защищённости (п. 9-12), далее разработал защитные меры для отражения актуальных угроз (п. 13-16). И, вперёд и вверх, реализовывать меры.

Особый интерес представляет подпункт г.) пункта 13. Это с учетом 330 постановления и есть использование сертифицированных средств. Так что в принципе ничего не поменялось. Далее всё решает только профессионализм того кто всё это делает.

Отраслевые модели, как были мертворождёнными, так и остаются. Тем кто пошёл по пути СТО БР ИББС, предлагается дождаться пока ЦБ родит что-то коррелирующее с новыми веяниями, согласует это со ФСТЭК и ФСБ, а потом уж и переделать то что уже сделано. Ну, это нормально, так и задумывалось, а то ведь АБИССу надо на что-то жить.

Касательно вопросов типа "А как ...?", это уже другая тема. Например, если в ИС используется операционная система сертифицирована на НДВ (детали типа на какой уровень оставим пока за бортом, вполне возможно, что ФСТЭК в зависимости от типа ИСПДн определит этот уровень), то это отметает угрозы первого типа. И так далее, то есть классический вариант. Не бросаться врукопашную описывать ИСПДн, а сначала причесать, убрать неприятные актуальные угрозы, а уж потом по описанному алгоритму.

И ещё, относительно пугала про контроль доступа. Читайте внимательно "...препятствующего возможности неконтролируемого проникновения или в этих помещениях лиц, не имеющих права доступа в эти помещения". Как следует из текста должен быть перечень лиц имеющих доступ (или не имеющих). Умный поймёт...


РЕЗЮМЕ. Документ - набор букв и слов, но прочесть его можно. Принципиальных изменений нет.
То есть Методы и способы из Приказа 58 ФСТЭК России не применяем, а систему защиты строим по актуальным угрозам и в соответствии с требованиями, которые необходимо выполнить по определенному УЗ.?
Цитата
Владимир пишет:
Цитата
Tolian пишет:
Лично на мой взгляд данный пример набор слов и не более того.
Окей! Выездная проверка. Вам приходит приказ о подготовке ряда документов, которые необходимо представить регулятору, в котором вышеперечисленный! Вы в ответ на приказ напишите или лучше на словах скажите, что это всего лишь набор слов и не более того!! Желаю вам успехов, в вашем нелегком деле.
Вы ничего не путаете? Какой приказ? Разжевывать простые вещи вам никто не будет, учите матчасть. Регулятор направляет письмо. В чем разница между приказом и письмом вы понимаете? Какие слова вы о чем вообще? Есть методики поверок в которых все прописано от и до.


Никто почему то из Вас не обратил внимания, что ПП1119 ещё не вступило в силу и прежние документы ещё работают:):):)
Trolian, Владимир ничего не путает. Лично участвовал в проверке (документарной) Роскомнадзора на защищавшейся стороне. Проверяющий направляет приказ о проведении проверки, в котором указывает своим сотрудникам какие доки проверять. Проверяемому - для справки, своим - для исполнения.
Изменено: Cug - 08.11.2012 07:57:01
Цитата
Tolian пишет:
Никто почему то из Вас не обратил внимания, что ПП1119 ещё не вступило в силу и прежние документы ещё работают:):):)
Почему не вступило в силу?
Цитата
Cug пишет:
Trolian, Владимир ничего не путает. Лично участвовал в проверке (документарной) Роскомнадзора на защищавшейся стороне. Проверяющий направляет приказ о проведении проверки, в котором указывает своим сотрудникам какие доки проверять. Проверяемому - для справки, своим - для исполнения.
Вместе с уведомлением о проведении проверки отправляется приказ о проверке, где перечень документов не указывается(откуда они знают их названия), обычно пишут - предоставить документы на проверку, определяющие то то и то то и подтверждающие выполнение того то того то
Замечательно, приступим
Цитата
Cug пишет:
Лично участвовал в проверке (документарной) Роскомнадзора на защищавшейся стороне.
это просто прекрасно, поясняйте сразу проверка плановая или внеплановая? Если плановая, то был ли график данной проверки? Если внеплановая какое основание данной проверки?



Цитата
Cug пишет:
Проверяющий направляет приказ о проведении проверки
Не путайте понятия, не проверяющий, а письмо от руководителя организации (регулятора) о том, что такого то числа будет проведена такая то проверка на основании того то .... в ходе проверки будет проверено то то, на основании того то. Приказ регулятора мне как проверяемому, по барабану. Он распространяется на проверяющих, в котором им руководитель их организации приказывает проверить то то и то то, не мне, а им и распространяется на них, а не на меня. Я как проверяемый могу дать им разрешение на проверку могу послать и не пустить их, это вам понятно?



Цитата
Cug пишет:
Проверяемому - для справки, своим - для исполнения.
Вот единственное верно, но лишь в части данный приказ мне не отправляется, а представляется по моей просьбе так понятней, или вам и дальнейшее разжевывать?
Цитата
Николай пишет:
Цитата
Tolian пишет:
Никто почему то из Вас не обратил внимания, что ПП1119 ещё не вступило в силу и прежние документы ещё работают:):):)
Почему не вступило в силу?
Данный документ опубликован в Российской газете только 07.11.2012, и вступит в силу только через 7 дней после его официального опубликования. И следовательно сейчас действуют требования старых документов
Страницы: Пред. 1 2 3 4 5 ... 14 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку