Почти 2 года назад вышли поправки в 152-ФЗ, меняющие подход к защите информационных систем персональных данных и требования к системам защиты. Спустя полтора года вышло соответствующее Постановление Правительства. Спустя еще 3 месяца вышли документы ФСТЭК, определяющие правила игры всей отрасли ИБ на ближайшие пару лет. Уже 4 месяц эти документы лежат в Минюсте и неизвестно сколько им ещё там лежать...
Получается классическая для нашей страны ситуация - закон есть, контролер есть, штрафы есть, а требований уже почти 2 года как нет, и когда будут - никто не знает.
name='more'>
ГОСТ РО 0043-003-2012 "Аттестация объектов информатизации. Общие положения" был введен в действие приказом Росстандарта 17 апреля 2012 года, но мне достать его удалось только через год и сразу переиздание за март 2013 года. До апреля этого года достать ГОСТ было сложнее чем японский видеомагнитофон во времена СССР.
ГОСТ ДСП. Чтобы его получить небходимо представить в ФГУП "СТАНДАРТИНФОРМ" или РОСОБОРОНСТАНДАРТ нотариально заверенные копии лицензий ФСТЭК и/или ФСБ на деятельность по ЗИ. Распростронять его нельзя, цитировать нельзя, ссылаться тоже нельзя.
Ну вот... теперь и весь мой блог - ДСП =(
Для чего нужна такая секретность абсолютно непонятно, ибо в документе практически ничего нет. Сам документ состоит из 18 страниц, из которых если отбросить воду и приложения, останется всего.... 5.
Оставшиеся 5 страниц - это, фактически, укороченная нарезка из Положения по аттестации объектов информатизации Гостехкомиссии 1994 года . Собственно существенных изменений я нашел только 2:
- наконец-таки теперь официально закреплена разница между просто лицензиатом ФСТЭК и аккредитованным органом по аттестации - первый может аттестовать ИС, обрабатывающие конфиденциальную информацию; второй может аттестовать так же ИС, обрабатывающие гостайну;
- для негостайны можно аттестовать "типовой АРМ" и распростронить действие аттестата на всю информационную систему при условии, что состав средств защиты и их настройки не изменятся. Эта норма есть и в проекте нового СТРК, который пылится сейчас в Минюсте.
Вообщем, тема аттестации в очередной раз не раскрыта, требования к аттестационным документам фактически отсутствуют, шаблонов документов нет. Все это ведёт к тому, что разные компании понимают под аттестацией разные вещи: одни придираются к каждой галочке в настройках ПО и СЗИ, ищут вирусы и уязвимости, проверяют наличие патчей, устраивают персоналу ликбез по ИБ, а другие меряют ПЭМИН, запускают Терьер, ФИКС и Ревизор и выдают аттестат с протоколом испытаний на двух страничках.
В целом, документы ГНИИИ ПТЗИ сильно уступают по качеству тем же докам ИПК ТЭК по безопасности объектов ТЭК, что удручает, т.к. сфера ответственности ФСТЭК ничуть не меньше чем у Минэнерго.