Все уже вероятно прочитали про выход нового Постановления Правительства РФ от 1 ноября 2012 года N 1119 "Об утверждении требований к защите ПДн в ИСПДн", поэтому я обойду здесь философские вопросы стороной и поделюсь своими практическими наблюдениями.
Первое, что мне бросилось в глаза, это отсутствие классификации в новом ПП. В буквальном смысле. Слова "класс" и "классификация" больше не встречаются в документе. Да и сам документ написан в более... повелительном тоне. Такое ощущение, как будто все "может" заменили на "должен".
Поэтому Акт классификации ИСПДн можно смело менять на Приказ об утверждении уровня защищённости ИСПДн.
Для определения нужного уровня защищённости необходимо определить 3 входных параметра:
1. Тип ПДн в ИСПДн: специальные (убрали судимость!), биометрические, иные, общедоступные.
Причем биометрические не могут быть и специальными, а вот все остальные типы видимо могут и пересекаться (например: общедоступные биометрические - фото на сайте - и т.д.).
2. Количество ПДн субъектов. Более 100 000 или менее 100 000. В категорию "менее 100 000" так же включены сотрудники РЖД, Газпрома и других организаций со штатом более 100 000 человек %).
3. Тип угроз: 1 - защищаемся от НДВ везде, 2 - защищаемся от НДВ только в прикладном ПО, 3 - игнорируем НДВ.
Уровень угроз и есть та самая переменная, которая зависит от "возможного вреда субъекту персональных данных и вида деятельности оператора" %). Видимо государственные органы и Банк России смогут устанавливать для своих отраслей фиксированный уровень угроз. Наверное стоит ожидать, что гос.сектор выберет 2 уровень. Все остальные могут честно выбрать третий уровень, чем серьёзно облегчат себе дальнейшую работу.
Итоговая таблица для определения уровня защищённости выглядит так:
В зависимости от уровня защищённости, необходимо принимать следующие меры по защите ПДн:
Видимо набор мер будет расширен в грядущих РД ФСТЭК и ФСБ. Только вот когда их ждать? В феврале 2013?
В целом документ оставил вполне положительные впечатления (ну в конце концов уж не хуже чем было!), но многое (если не всё) зависит теперь от документов ФСТЭК и ФСБ.
PS. Картинка в заголовке поста сделана с помощью анализатора слов http://www.wordle.net, которому я скормил новое ПП.
Как не переделывай эти таблички на новый лад - всё равно боян.
ОтветитьУдалить?
УдалитьНе хотел обидеть, просто тяжко смотреть в десятый раз за день смотреть на одни и те же таблицы классификации и требований,
Удалитьнезависимо от того, перевернутые или разбитые на 2 части
ну ты не прав.
Удалитьимхо это наиболее оптимальная форма выбора уровня защищенности, и другие таблицы больше запутывают, чем помогают.
Для каждой ситуации разные таблицы больше подходят. Всего их можно придумать огромное количество вариаций и цветовых гамм. Но это же не повод чтобы их все в один день и на всех блогах вывешивать.
УдалитьИмхо кто первый выложил, молодец - получил огурец.
Все остальные - уже баян.
Добрый день. Очень понравилась ваша статья про hid девайсы. Давно думала купить утку но вот вопрос - что делать с языком клавиатуры если на целевой системе не только анг?
ОтветитьУдалитьгде? где? где в законе написано про сертифицированные СЗИ?
ОтветитьУдалитьВ законе написано четко: "использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз."
Или вы считаете правительство идиотами?
Правительство действительно поступило не самым умным образом и вместо понятной и краткой формулировки использовало обтекаемую.
УдалитьНо если открыть 17 и 21 приказ ФСТЭК, то всё станет на свои места.