08 мая 2019 г. утверждены новые Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении оборонной продукции работ, услуг), поставляемой по государственному оборонному заказу (постановление Правительства Российской Федерации от 30 апреля 2019 г. № 548).
Новые Правила аккредитации кардинально меняют сложившуюся систему не только аккредитации, но и сертификации СМК предприятий, работающих в области государственного оборонного заказа.
В пятницу на вечернем заседании в Государственной Думе обсуждался вопрос о своевременной и надежной защите персональных данных. Всего один (против 313) волеизъявитель российских трудоголиков воздержался от идеи защиты приватных данных с помощью стойких криптографических (шифровальных) средств, а также выполнения Закона в запланированные сроки (с 2006 по 2010 г.г.).
Объясните мне, в чем смысл изменения статьи 19, 152-ФЗ, в части исключения использования криптографических средств???
Цитирую:
"1) в части 1 статьи 19 слова «, в том числе использовать шифровальные (криптографические) средства,» исключить;"
Ведь в любом случае все равно же придется использовать криптографические средства в распределенных ИСПДН, т.к. есть необходимость защищать одно из свойств информации – конфиденциальность, а без криптографии в распределенных ИС через открытые каналы защищать это свойство не получиться.
Видимо для того, чтобы исключить неправильное толкование - дескать шифровальные (криптографические) средства необходимо использовать в обязательном порядке, независимо от актуальности угроз.
По тексту статьи так и звучит "Оператор ... обязан принимать ... меры, в том числе использовать шифровальные (криптографические) средства".
Что Вы привязались к господину Резнику? Лично меня не интересует его частная жизнь.
И тем более не надо рекламировать здесь сайт, содержимое которого вызывает большое сомнение.
Александр пишет:
Нужно не просто переносить сроки - но и СНИДЖАТЬ требования по защите
Наверное, просто переносить сроки - это вообще не конструктивно (отдать дань анархии или олигархам от иностранного бизнеса).
А насчет "СНИДЖАТЬ" - точнее, делать их аДЖекватными. В каждом юрлице фактически вся (!!) информация конфиденциальная, т.о., необходима градация конфиденциальной информации и соответствующих требований: где-то (для защиты, там, ПДн К2) использовать оргмеры (на договорной основе определить отв.лицо, несущее ответственность в соотв.с УК РФ), а где-то (служебная тайна, например, ФСБ или Генштаб) - аттестовать по требованиям ФСТЭК или ведомств. Отсутствие градации (единая аттестация по СТР-К) приводит к тому, что в организации выделяется неработающий компьтер, который демонстрируют на проверках. А всю другую конфиденциальную информацию (разные виды тайн) В ТУПУЮ называют несекретной.
Иммитация - бичь нашей страны. По аналогии: гаишники - правоохранительный орган.
Сергей пишет:
Эх теперь счетчик "До прихода регуляторов осталось:" не актуален
Актуален еще как. Во-первых, еще не известно, примут или нет. Во-вторых, если примут, то операторам не даст расслабиться и еще на год забыть, а под конец года вспомнить и заплакать.
И тогда, все будет так, как должно было бы быть..., даже если будет наоборот...
Все как то увлеклись переносом срока, однако мало кто обратил внимание на то, что этот перенос распространен только на созданные до 2006 года системы, а все, создаваемые вновь - будьте любезны соответствовать.
Статья 25. Заключительные положения
п. 3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.
криптографические средства
- контроля целостности (хэширование как класс контр.суммирования)
- аутентификации (ЭЦП и приложения, протоколы)
- шифрования и т.д.
Даже если в Думе поднялся "ветер", то тема защиты данных все равно актуальна. И работы хватит здесь не на один год. Независимо примут или не примут. Вопрос в том ,как привести к соответствию информационные продукты , изданные до 2007 года.
BuBl пишет:
Вопрос в том ,как привести к соответствию информационные продукты , изданные до 2007 года.
Точнее сказать как эту работу рациональнее привести, не потратившись на избыточные СЗИ, требования на которые завтра могут отменить, и не затратив огромного труда на создание документов, которые завтра регуляторов не будут интересовать.
Ну с СЗИ все понятно - берем модель угроз и покупаем только то оборудование, которое нужно для устранения реальных актуальных угроз. На "мифические" угрозы (появившиеся в документах ФСТЭК в результате копи-паста) пока кладем до разъяснения на этот счет регуляторов.
А с документами как быть? Где взять юридически обоснованный перечень комплекта документов, описывающих степень защищенности ПДн в организации?
А с документами как быть? Где взять юридически обоснованный перечень комплекта документов, описывающих степень защищенности ПДн в организации?
А вот это реальный и "больной" вопрос. Нужен гостированный техрегламент. Отсебячиной страдать можно сколько угодно долго. Сейчас у многих руководителей it- отделов возник ступор: что делать дальше и с чем все это "прожувать". Вчера уже замучели вопросом: и....?