На данную заметку меня натолкнула статья " Как уйти от оценки соответствия СЗИ ", в которой делается интересный, но неверный вывод "Простой пример: 2 уровень защищенности ПДн, СОВ обязательна, хошь-не хошь". Я с ним сталкиваюсь достаточно регулярно, разговаривая об алгоритме выбора защитных мер по 17/21/31-му приказам.
Алгоритм, действительно, отличается от того, что было раньше. Сейчас появилась свобода выбора и она многих вводит в ступор. Это вам не СТР-К, не четверокнижие и не 58-й приказ, который содержал закрытый перечень защитных мер. Вот их надо было обязательно выполнять, хошь-не хошь. В новых приказах ситуация совершенно другая.
Да, начинается все с перечня базовых мер. Многие считают, и считают неправильно, что эти меры являются минимально возможным перечнем, который нельзя урезать. А ведь это совсем не так! В приказах четко написано, что "исключение из базового набора мер возможно, если какие-либо информационные технологии не используются в информационной системе, или присутствуют структурно-функциональные характеристики, не свойственные информационной системе". То есть ни о каком минимально допустимом перечне речи не идет. Что же такое базовый набор?
Все просто. Это набор мер, рекомендуемых "по умолчанию". Вот не хотите вы пересматривать защитные меры исходя из используемых вами технологий или особенностей информационной системы. Не хотите строить свою модель угроз. Не хотите адаптировать защитные меры под себя. Вот для вас и разработан базовый набор, как набор "лучших практик". Во время разработки проектов приказов очень много дискуссий было именно на тему, что включать, а что нет, в этот базовый набор, так как все понимали, что потребитель будет отталкиваться от него при построении своей системы защиты.
Однако, если вы считаете, что базовый набор вам не подходит. Например, у вас нет каких-либо угроз, технологий или процессов, то вы можете спокойной урезать этот набор до необходимого вам. Именно вам, а не интегратору, лицензиату или еще кому-то. Это требует определенных усилий и времени, но зато и результат будет оптимальным. А можно пойти по старинке и взяв за основу базовый набор, реализовать его в своей системе. Тоже возможно.
В любом случае у вас есть свобода действий, которой вы можете воспользоваться, а можете и нет. Главное, что не стоит думать, что базовый набор - это минимальный перечень защитных мер.
Алгоритм, действительно, отличается от того, что было раньше. Сейчас появилась свобода выбора и она многих вводит в ступор. Это вам не СТР-К, не четверокнижие и не 58-й приказ, который содержал закрытый перечень защитных мер. Вот их надо было обязательно выполнять, хошь-не хошь. В новых приказах ситуация совершенно другая.
Да, начинается все с перечня базовых мер. Многие считают, и считают неправильно, что эти меры являются минимально возможным перечнем, который нельзя урезать. А ведь это совсем не так! В приказах четко написано, что "исключение из базового набора мер возможно, если какие-либо информационные технологии не используются в информационной системе, или присутствуют структурно-функциональные характеристики, не свойственные информационной системе". То есть ни о каком минимально допустимом перечне речи не идет. Что же такое базовый набор?
Все просто. Это набор мер, рекомендуемых "по умолчанию". Вот не хотите вы пересматривать защитные меры исходя из используемых вами технологий или особенностей информационной системы. Не хотите строить свою модель угроз. Не хотите адаптировать защитные меры под себя. Вот для вас и разработан базовый набор, как набор "лучших практик". Во время разработки проектов приказов очень много дискуссий было именно на тему, что включать, а что нет, в этот базовый набор, так как все понимали, что потребитель будет отталкиваться от него при построении своей системы защиты.
Однако, если вы считаете, что базовый набор вам не подходит. Например, у вас нет каких-либо угроз, технологий или процессов, то вы можете спокойной урезать этот набор до необходимого вам. Именно вам, а не интегратору, лицензиату или еще кому-то. Это требует определенных усилий и времени, но зато и результат будет оптимальным. А можно пойти по старинке и взяв за основу базовый набор, реализовать его в своей системе. Тоже возможно.
В любом случае у вас есть свобода действий, которой вы можете воспользоваться, а можете и нет. Главное, что не стоит думать, что базовый набор - это минимальный перечень защитных мер.
