Молодой специалист, только постигающий азы толкования нормативных документов, столкнувшись с задачей обеспечения безопасности персональных данных с помощью средств шифрования, тут же наткнется на новый приказ ФСБ №378, который так и называется: "Cостав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации".
И невдомек ему, зеленому, что по старой престарой традиции к одному новому приказу могут идти в довесок ещё несколько старых или закрытых, но при этом полностью действующих руководящих документа.
378 приказ ФСБ все ждали, скрестив пальцы, но чуда не произошло, и на свет появился очередной документ с решетками на окнах и призраками ИТР, но всё же, стоит признать, чуть мягче, чем предыдущие.
Вот только одно меня смущало: старые документы то не отменили. А раз так, то какой смысл в новом приказе, если старые требования остаются в силе?
Поэтому в начале ноября я написал запрос в ФСБ, воспользовавшись интернет-приёмной (само собой, HTTPS нет, политки обработки ПДн нет, согласия на обработку тоже нет).
Звучал он примерно так:
Обязан ли я соблюдать требования старых документов ФСБ (ФАПСИ), регламентирующих использование средств шифрования, для защиты персональных данных в ИСПДн, или достаточно одного 378 приказа?Два месяца прошло, и я уже забыл про свой запрос. Каково же было мое удивление, когда на почте мне вручили большой конверт от ФСБ, умудрившись его чуть не потерять.
Вот так выглядит ответ 8 центра ФСБ России на электронный запрос, направленный через веб-приемную :)
Ещё один вывод из письма дублирует аналогичный по ФСТЭКу: вместо того, чтобы разводить бесконечные споры в соц.сетях или курилках, задайте свой вопрос через веб-приемную напрямую в 8 центр ФСБ! Это просто как два бита переслать.
Ответы 8 центра обязательно публикуйте, ибо эти знания могут пригодится кому-нибудь ещё. Если некуда выложить - присылайте сканы мне (root@itsec.pro)!
Спасибо за инфу.
ОтветитьУдалитьТоже задал пару вопросов ФСБ и ФСТЭК месяц назад. Жду кто первый ответит.
Ну ничего нового в ответе же нет :-) "Розовую инструкцию" никто и не отменял. Слухи ходят о ее переделке в 2015-м году. Замены ПКЗ-2005 тоже нет. Так что все логично :-)
ОтветитьУдалитьНу Вас, Алексей, сложно чем то новым удивить :)
УдалитьЯ вот хотел подвтерждения, что "Типовые требования.. " и "Методические рекомендации..." 8 центра больше не имеют силы. Да и мне не ясно было зачем делать более мягкий 378 приказ, если старые документы всё равно в силе.
И даже если бы "решетки на окнах" в 378 не указали, они, получается, все равно нужны бы были по "розовой книжечке".
Удалитьдаже фстэк 21 не указали
ОтветитьУдалитьФСТЭК не регламентирует требования к защите информации с применением средств криптографической защиты. Такие требования регламентирует и проверяет ФСБ.
УдалитьФСТЭК не регламентирует требования к защите информации с применением средств криптографической защиты. Такие требования регламентирует и проверяет ФСБ.
УдалитьМы занимаемся разработкой программного обеспечения. В данный момент у нас подписан контракт согласно которому необходимо провести работы по информационной безопасности. Помимо подготовки документов по ИБ, результатом работ должно быть заключение 8 Центра ФСБ России по оценке влияния Системы на выполнение предъявленных к СКЗИ требований. Подскажите какая компания предоставляет подобные услуги?
ОтветитьУдалить