Что произошло в ИБ РФ за неделю: РКН про биометрию, ФСБ про КСИИ, рекомендации ФСТЭК по защите информации

Что произошло в ИБ РФ за неделю: РКН про биометрию, ФСБ про КСИИ, рекомендации ФСТЭК по защите информации

Меня не было в Москве чуть больше недели, посетил с друзьями Берлин и Амстердам. Был отличный повод - 30 августа я женился...

За время моего отсутствия и "низкоинформационной диеты" произошло несколько событий, влияющих на регулирование информационной безопасности в России.

1. РКН подготовил разъяснения по биометрическим ПДн

А точнее разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим ПДн и особенностей их обработки. Сам документ можно скачать тут . Разъяснения подготовлены по результатам совместного обсуждения с представителями экспертного сообщества: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В., поэтому посмотреть итоговую версию мне было как минимум интересно. Документ получился довольно большой - 5 страниц, и для неподготовленного читателя понять его будет не просто. 
Мнения экспертов по вопросу биометрических ПДн разделились:
Лично я считаю, что документ получился в целом полезный и его наличие крайне необходимо, ведь мы еще помним недавнее " мнение РКН про биометрические ПДн ".
Однако мне кажутся неверными следующие подходы:
  • Фото на пропусках на территорию и в СКУД - это биометрические ПДн. Мое мнение - не каждое фото-изображение является биометрическими ПДн (они должны соответствовать определенным требованиям, например  ГОСТ Р ИСО/МЭК 19794-5-2006 ).
  • Отнесение к биометрическим ПДн "иных физиологических или биологических характеристик человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта". Если любые фото и видео - ПДн, то почему бы сюда не включить еще произведением изобразительного искусства, на которых изображены люди, а также текстовое описание людей... Мое мнение - не каждое фото-изображение является биометрическими ПДн, а видео-изображение, рисунки-изображения (включая фотороботы, шаржи, карикатуры и пр.) и текстовое описание людей не являются биометрическими ПДн. Кстати, по этому поводу есть хороший пост у Артема Аветяна -  http://www.securitylab.ru/blog/personal/avetjan/28096.php
  • Возможность ПДн быть биометрическими и не биометрическими (это про пример со сведениями в медицинских картах и примеры с фотографиями). Да, термин "биометрические ПДн" не конкретный, но, на мой взгляд, такое свойство "быть биометрическими" для ПДн должно быть неизменным от контекста и целей обработки.

2. ФСБ России рассмотрели рекомендации по КСИИ 

Помните, совсем недавно мы писали комментарии на законопроект  по безопасности критической информационной инфраструктуры ? ФСБ России проанализировали их ( сводка по предложениям ) и внесли изменения в итоговый документ .
Странно, что только я (Андрей Прозоров), Антон Еркин, Алексей Лукуацкий, Российская ассоциация электронных коммуникаций, Алексей Липатов и Александр Коробков откликнулись на просьбу предоставить свое экспертное мнение. Но об этом уже писал Лукацкий тут .
К сожалению (и удивлению), большинство предложений и замечаний "не учтены"... 

3. ФСТЭК России начал обсуждение методических рекомендаций по защите информации

Началось обсуждение методического документа ФСТЭК России «Меры защиты информации в государственных информационных системах». Как это и было с Приказом 21 , обсуждение ведется в рамках экспертного совета, первое совещание было 06.09.2013 (к сожалению, не смог присутствовать).

Немного расскажу про документ. Он определяет содержание и требования к реализации организационных и технических мер защиты информации, подлежащих применению в государственных информационных системах в соответствии с приказом ФСТЭК России от 11 февраля 2013 г. № 17 и приказом ФСТЭК России от 18 февраля 2013 г. № 21. Документ довольно большой, порядка 150 страниц. Он содержит рекомендации и разъяснения по классификации ИС и порядку выбора мер защиты, и, что самое главное, детальные рекомендации по реализации мер защиты (примерно по 1-2 страницы под каждую конкретную меру).

Ждите продолжения...
Про ИБ КСИИ ПДн Аналитика Приказ17
Alt text
Комментарии для сайта Cackle

Andrey Prozorov

Информационная безопасность в России и мире