Новый документ ФСТЭК по защите ПДн

Новый документ ФСТЭК по защите ПДн
Итак свершилось... То, о чем я писал пару-тройку недель назад свершилось - ФСТЭК выпустил новую версию своих требований по защите ПДн - приказ от 5.02.2010 58 "Об утверждении положения о методах и средствах защиты информации в ИСПДн" (в Консультанте и в Гаранте ). Он утвержден директором ФСТЭК и зарегистрирован в МинЮсте 19 февраля. Учитывая легитимность этого документа (и нелигитимность четверокнижия), основание выпуска этого приказа (тоже во исполнение пп-781) и срок выпуска этого приказа (он более новый, чем четверокнижие), а также исходя из общих норм права, можно сделать вывод, что приказ 58 пришел на замену (а не в дополнение) предыдущих документов ФСТЭК по теме персданных. Второй приятный момент в документе - отсутствие требований лицензирования, аттестации и применения сертифицированных СЗИ. Последние нужны только для ИСПДн 1-го класса и только в части отсутствия НДВ. Все защитные меры разрабатываются только исходя из модели угроз и класса ИСПДн - никаких заранее готовых перечней механизмов защиты не предусматривается. Класс определяется только исходя из "Приказа трех". Это один из скользких моментов, т.к. "приказ трех" не предусматривает дополнительной классификации специальных систем, а типовых систем в природе не существует. А вот перечень методов и способов защиты (перекочевал из четверокнижия), приведенный в Приложении к Приказу, привязан к классам типовых систем. Как решать этот парадокс пока не совсем понятно. Я придерживаюсь точки зрения, что раз методики классификации спецсистем не существует, то мне остается только самостоятельно (или с привлечением лицензиата) разработать перечень защитных мер исходя из модели угроз. А перечень из приложения к приказу - всего лишь рекомендация, не более. С ПЭМИН борьба только при актуальности данной угрозы.
законодательство ФСТЭК персональные данные
Alt text

Не ждите, пока хакеры вас взломают - подпишитесь на наш канал и станьте неприступной крепостью!

Подписаться