28 Января, 2013

Срочно в номер. ФСТЭК подготовил 2ю версию документа про требования к защите по ПДн

Andrey Prozorov
Многие помнят, что в конце прошлого года ФСТЭК России выпустил проект документа, определяющего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн . Потом мы отправляли свои замечания и предложения . Опасения, что они останутся неучтенными, оказались напрасными. Сегодня было проведено закрытое совещание, на котором обсуждался уточненный проект документа, я и еще 6 экспертов (думаю, что они тоже напишут свои мысли в блогах) были приглашены. Всего было 10 человек: 3 представителя регулятора и 7 экспертов. Мы довольно долго обсуждали и вносили свои корректировки.
В настоящий момент мы успели обсудить и внести предложения лишь по текстовой части документа, на следующем совещании (на этой неделе) будем рассматривать таблицу мер из приложения.

В настоящий момент могу сказать про документ:
  1. Принципиально документ не менялся и, видимо, уже не будет. Править ПП1119 нам тоже нельзя, ориентируемся на его положения.
  2. Большинство правок и предложений, которые мы с коллегами направляли во ФСТЭК России, учтены и внесены в новую редакцию документа. Документ стал "добрее" к операторам и чуть понятнее.
  3. ФСТЭК России ориентируется на скорейшее получение итогового варианта документа. Вероятный план его издания такой: мы в ближайшие дни еще один-два раза собираемся, обсуждаем и вносим правки во 2ю версию документа. Затем он публикуется на сайте ФСТЭК России в качестве проекта, еще несколько дней регулятор собирает оставшиеся замечания и предложения и в начале-середине февраля уже публикует итоговую версию.
  4. В дальнейшем ФСТЭК России планирует издать еще несколько документов разъясняющих требования и рекомендации по ПДн, например, про вопросы связанные с моделью угроз.

Теперь по правкам, которые уже внесены и/или будут внесены в ближайшее время (мы их обсудили сегодня):
  • мелкие правки по тексту, в основном про уточнение терминов, внесения ясности в "обязательность и рекомендации", прояснение требований;
  • упрощен пункт 4 про привлечение лицензиатов для выполнения работ по обеспечению безопасности ПДн;
  • поправлен пункт 5 про сертификацию, вернулись к термину "прошедшие процедуру оценки соответствия" ( Алексей Волков улыбается );
  • четко прописали, что базовый перечень мер может быть как расширен, так и уменьшен за счет модели угроз и компенсирующих мер;
  • увеличен перечень групп мер, теперь их 13 (вместо 10 в первом варианте), отдельно вынесены:
    • антивирусная защита;
    • обнаружение вторжений;
    • доступность ПДн и иных ресурсов информационных систем.
      Не могу сказать, что это самая удачная группировка, попробую предложить другую, но этот вопрос не принципиальный (скорее смотрю со стороны удобства), поэтому скорее останется уже в таком виде.
  • возможно терминальные станции, как сейчас виртуальные среды, будут вынесены в отдельный пункт, мобильные устройства отдельно рассматриваться не будут (их защищаем с учетом представленных требований);
  • внесены правки в моменты связанные с защитой машинных носителей: внесены правки в терминологию (не надо рассматривать жесткие диски отдельно от АРМ), убрано требование по маркированию;
  • уточнено про физическую защиту (с точки зрения использования средств обработки вне контролируемой зоны);
  • пробуем подобрать формулировку для возможности выбора мер защиты с учетом экономической целесообразности;
  • ссылка на 7уровневую модель OSI (в конце текстовой части документа), вероятно, будет убрана;
  • рассматривается вопрос по удалению положений по сертификации на НДВ.

В целом взаимодействовать с регулятором и коллегами понравилось, поработали продуктивно. Попробуем сделать хоть и не идеальный документ (полностью править нельзя), но хотя бы чуточку лучше.

или введите имя

CAPTCHA
86738
30 Января, 2013
Это будет первый подобный документ, разработанный с привлечением экспертного сообщества?
0 |