Security Lab

Сравнение ПП-781 и ПП-1119

Сравнение ПП-781 и ПП-1119
Вчера я прошелся по новому ПП-1119. В комментах нет ни одной позитивной оценки этого нормативного акта. Оно и понятно - все ждали чего-то другого. Ну не дождались ;-) Хотя огульно ругать и заявлять, что такого бреда давно не публиковалось легко. А вот предложить конкретные формулировки "как надо" пока никто не предложил (все только критикуют).

Ну да ладно. Подойдем к вопросу системно и сравним два постановления - отмененное 781-е и новое 1119-е. Я провел простое сравнение по требованиям и свел в их единую табличку. Итог однозначен - убрано больше половины всех требований, новых требований добавлено всего 5 (причем не все из них со знаком минус), 9 требований осталось без изменений, 3 требования ушло на уровень ФЗ-152. И как можно говорить, что стало хуже?




Сравнение ПП-781 и ПП-1119 from Alexey Lukatsky

По сути не поменялось ничего. Та же оценка соответствия, тот же непонятный электронный журнал, то же требование утверждения списка допущенных лиц, то же требование установление режима безопасности в помещениях, та же отсылка к нормативным документам ФСТЭК и ФСБ. Что стало хуже-то? Просто многие и 781-е не выполняли в полном объеме. Поэтому и про невыполненные требования забыли (все-таки 4 года прошло с моменты выхода ПП-781). Вот и кажется, что 1119-е стало хуже предыдущего текста. А на самом деле оно лучше. Лучше своего предшественника. Но хуже, чем могло бы быть и чем предлагали эксперты.

Но что меняет новый нормативный акт? По сути ничего. Да, придется менять классификацию ИСПДн. Но имеющаяся классификация ничего кроме ругани не вызывала и многие операторы ПДн все равно классифицировали свои системы как специальные без дальнейшей детализации по 4-м классам. Списки лиц и так все оформляли. Сертифицированные решения кто не использовал, тот и не будет их использовать. Моделирование угроз проводить надо по закону уже почти полтора года. Электронный журнал как был непонятной субстанцией, так и остался. Однако это не мешает находить в Интернет регламенты по ведению такого журнала, что помогает проходить проверки.


Но главное не изменилось.Ни ФСТЭК, ни ФСБ так и не получили права проводить проверки негосударственных организаций. Модель угроз как делал оператор, так и будет делать он же. Ждать, что органы исполнительной власти вот прямо сейчас разродятся своими отраслевыми моделями угроз не приходится (разве что кроме Банка России). А без них оператор либо может забить болт на моделирование, либо сделать это самостоятельно. И тут он волен делать все, что считает нужным.

Детальные требования по ИБ как разрабатывлись ФСТЭК и ФСБ, так и будут ими разрабатываться. Что же касается их конкретного содержания, то неужели кто-то рассчитывает увидеть там что-то еще невиданное. По линии ФСБ ничего нового не будет. Применение сертифицированных СКЗИ, выполнение 152-го приказа ФАПСИ - вот и все вокруг чего будет крутиться новый приказ. Хуже быть не может. Лучше? Вполне. Так это плюс, что может быть лучше. Новый документ ФСТЭК либо будет похож на 58-й приказ (а что в нем такого неизведанного и непонятного), либо на проект "нового СТР-К". Так он тоже известен и в работе над ним как раз приглашали поучаствовать всех желающих - но многие и тут остались верны себе - покритиковали в Facebook, а что-то предлагать отказались.

Так что стало хуже-то? 
законодательство ФСТЭК ФСБ персональные данные
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!