1

Тема: Приказ ФСТЭК № 58 от 05.02.2010

http://base.consultant.ru/cons/cgi/onli … AW;n=97942
Статус 4-х книжья теперь неизвестен.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

2

Re: Приказ ФСТЭК № 58 от 05.02.2010

Юридический статус 4-х книжья ФСТЭК России и Приказа №58 от 05.02.2010.
Все пять документов приняты на основании п.3 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (ПП781): «Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.»
Положение о методах и способах защиты информации в информационных персональных данных устанавливает «методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), или лицом, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо)» п.1.1.
Основные мероприятия являются методическим документом, определяющим мероприятия по организации и техническому обеспечению безопасности ПДн (не криптографическими методами) при их обработке в ИСПДн, в интересах решения задач:
проведения мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
своевременного обнаружения фактов несанкционированного
доступа  (НСД)  к  ПДн;
недопущения воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
возможности незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;
постоянного контроля за обеспечением уровня защищенности ПДн.
    Обеспечение безопасности ПДн с использованием криптографических методов в настоящем документе не рассматривается. Порядок организации и обеспечения указанных работ определяется в соответствии с нормативными документами Федеральной службы безопасности Российской Федерации.
Таким образом, все 5 документов действуют одновременно.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

3

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

Таким образом, все 5 документов действуют одновременно.

Точнее не действуют одновременно т.к. приказ вступает в силу через 10 дней после его официального опубликования.

Мониторим РГ и после официального опубликования отсчитываем 10 дней.
На момент опубликования данного поста официально был опубликован приказ ФСТЭК, прошедший Минюст 15.02.2010.

Наиболее вероятно, что с всуплением в силу приказа уберут Основные мероприятия (именно с ними основной диссонанс), а остальные так и останутся методическими/рекомендательными, но не обязательными.

4

Re: Приказ ФСТЭК № 58 от 05.02.2010

согласен с toparenko...про ТКЗИ хоть и не написано, но тут и так понятно что все останется как было ведь 128ФЗ и ПП504 никто пока не отменил...конечно если хотят сделать все по нормальному пора бы уж и приказ о порядке проведения классификации поменять
времени и так уж прошло достаточно а никто не шевелится...что то

5

Re: Приказ ФСТЭК № 58 от 05.02.2010

Все достаточно просто - отменить основные мероприятия и рекомендации, из которых вышел приказ о классификации, можно приказом по ФСТЭК России.
Что касается официального опубликования - есть официальный сайт ФСТЭК - достаточно там опубликовать, также как поступило в прошлом году ФСБ России по административным регламентам - официально опубликовали на сайте.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

6 (2010-03-12 00:32:11 отредактировано Dmitry Leviev)

Re: Приказ ФСТЭК № 58 от 05.02.2010

Основные мероприятия и Рекомендации с 15 марта не применяются. Основание решение ФСТЭК России от 5 марта 2010 года http://www.fstec.ru/_docs/doc_781_1.htm
Официально опубликовали на сайте приказ №58 http://www.fstec.ru/_docs/doc_781.htm

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

7

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

Официально опубликовали на сайте приказ №58 http://www.fstec.ru/_docs/doc_781.htm

Официально опубликовали в РГ 5 марта. С этого момента пошло 10 дней до вступления в силу.

На сайте ФСТЭК опубликовали позже - т.ч. счетчик по РГ.

8

Re: Приказ ФСТЭК № 58 от 05.02.2010

Главное что опубликовали приказ о замене основных мероприятий и рекомендаций. ВОт что делать теперь с классификацией специальных систем? Ведь рекомендации не действуют, а классификации для них нет в приказе трех.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

9

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

ВОт что делать теперь с классификацией специальных систем?

Класс "специальная", защита из актуализации модели угроз/оценки рисков (только реально, а не профанировать)

Алгоритм первого этапа (до работы по инсайдерским рискам) я отдал на распространение DATUM-у

10

Re: Приказ ФСТЭК № 58 от 05.02.2010

Основной вопрос - какой класс - от этого зависит какие угрозы рассматривать, а какие можно не рассматривать в Модели угроз. Если делать реальные МУ, то очень быстро можно дойти до К1 по требованиям!
Что касается алгоритма - он уже два года на всех конференциях обсосан. С вводом 58 приказа ничего не меняется по организационно-правовой форме, меняется подход доказательства необходимости технических мероприятий.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

11

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

Основной вопрос - какой класс - от этого зависит какие угрозы рассматривать, а какие можно не рассматривать в Модели угроз. Если делать реальные МУ, то очень быстро можно дойти до К1 по требованиям!

Рассматривать следует все угрозы. Но защищаться не от всех угроз (угрозо-ориентированная модель защиты), а от актуальных и критических рисков (риск-ориентированная модель защиты) wink

Dmitry Leviev пишет:

Что касается алгоритма - он уже два года на всех конференциях обсосан. С вводом 58 приказа ничего не меняется по организационно-правовой форме, меняется подход доказательства необходимости технических мероприятий.

lol года 2 я вижу первым пунктом отправку уведомления.

Именно из-за этого и появился этот алгоритм, где совершенно иной порядок дейстий wink
Частично этот алгоритм пошел в Рекомендации ЦБ/АРБ (План приведения)

12

Re: Приказ ФСТЭК № 58 от 05.02.2010

Кто говорит что надо отправлять уведомление?
Для отправки надо сначала работы по 1 и 2 этапу сделать...
Порядок действий у всех кто реально работает - единый-))

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

13

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

Кто говорит что надо отправлять уведомление?
Для отправки надо сначала работы по 1 и 2 этапу сделать...
Порядок действий у всех кто реально работает - единый-))

Вот про 2-й этап сомневаюсь - по нему в РФ всего несколько десятков компаний работают... Большинство пока на 1-м этапе.

14

Re: Приказ ФСТЭК № 58 от 05.02.2010

странно - если считать банки - то моим данным вы неправы.
насчет туроператоров - есть такое

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

15

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

странно - если считать банки - то моим данным вы неправы.
насчет туроператоров - есть такое

Банк банку рознь. У нас банков порядка 1к штук wink

"Внизу" есть и такие у которых вообще специалистов по ИБ нет...

16

Re: Приказ ФСТЭК № 58 от 05.02.2010

toparenko пишет:
Dmitry Leviev пишет:

Кто говорит что надо отправлять уведомление?
Для отправки надо сначала работы по 1 и 2 этапу сделать...
Порядок действий у всех кто реально работает - единый-))

Вот про 2-й этап сомневаюсь - по нему в РФ всего несколько десятков компаний работают... Большинство пока на 1-м этапе.

и

toparenko пишет:

Банк банку рознь. У нас банков порядка 1к штук wink

"Внизу" есть и такие у которых вообще специалистов по ИБ нет...

Как-то ваши утверждения в разных постах противоречат=)

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

17

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

toparenko пишет:
Dmitry Leviev пишет:

Кто говорит что надо отправлять уведомление?
Для отправки надо сначала работы по 1 и 2 этапу сделать...
Порядок действий у всех кто реально работает - единый-))

Вот про 2-й этап сомневаюсь - по нему в РФ всего несколько десятков компаний работают... Большинство пока на 1-м этапе.

и

toparenko пишет:

Банк банку рознь. У нас банков порядка 1к штук wink

"Внизу" есть и такие у которых вообще специалистов по ИБ нет...

Как-то ваши утверждения в разных постах противоречат=)

И в чем же они противоречат? В том, что я говорю что у нас в стране по инсайдерским рискам "работают" несколько десятков компаний и что не все банки по ним "работают"?

Или в том, что в мелких банках нет спецов по ИБ - потому для них и готовились рекомендации ЦБ/АРБ. И потому и вводится исполнение и проверка исполнения СТО БР.

PS: "Борьбу с инсайдерами" я не считаю работой по инсайдерским рискам ввиду абсурдности. wink

18

Re: Приказ ФСТЭК № 58 от 05.02.2010

Начнем сначала:
риски нарушения правил со стороны работников у нас занимается достаточное кол-во компаний, даже если не брать нефте-газовый комплекс.
что касается рекомендаций ЦБ и АРБ - то для 1000 банков реально существующих не надо говорить о всей стране - это маленькая толика заказчиков, причем часть из них неприкасаемая.
Я говорю в данном случае о всех компаниях во всех отраслях. Во многих компаниях такие "специалисты" ИБ, что лучше бы их не было.
Насчет риска - главный риск - работа в РФ, где выполнение до буквы закона, а не духа приводит к наказанию.
Как это считать?

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

19

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

риски нарушения правил со стороны работников у нас занимается достаточное кол-во компаний, даже если не брать нефте-газовый комплекс.

Достаточное - это сколько (порядок - десятки/сотни/тысячи/its)?
Я считаю, что десятки.

Минимизация рисков нарушений правил со стороны всех работников (офисного планктона) и минимизация рисков со стороны секретносителей (инсайдеров) не совсем одно и то же big_smile
Выделение инсайдеров (и минимизация их количества) из массы "планктона" происходит еще на первом этапе.

20

Re: Приказ ФСТЭК № 58 от 05.02.2010

особенно, если планктон работает с клиентами физиками-)))
P.S. давно так не улыбался. не надо судить по банкам о всех возможных юрлицах.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

21

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

особенно, если планктон работает с клиентами физиками-))).

Вспомним случай с ВТБ.

"Утекли" 8 кредитных досье.
Урон субъектам?
Урон банку? Потом отбросим репутационный ущерб от "информационной волны"...

Другой вопрос когда не минимизированы секретоносители и планктон имеет доступ ко всей (или достаточно солидной части) базе клиентов...

Dmitry Leviev пишет:

P.S. давно так не улыбался. не надо судить по банкам о всех возможных юрлицах.

Так и не увидел порядка цифр wink

По банкам не сужу - т.к. знаком с ситуацией не только в банковском секторе (вообще-то из всего времени работы в коммерческих структурах в банковском секторе я проработал менее 30% времени)

22

Re: Приказ ФСТЭК № 58 от 05.02.2010

152-ФЗ не защищает субъектов - это секира в руках государтсва и чиновников.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

23

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

152-ФЗ не защищает субъектов - это секира в руках государтсва и чиновников.

Вот именно, что по букве Закона так.

А должно быть:

Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

24

Re: Приказ ФСТЭК № 58 от 05.02.2010

Уважаемый toparenko!
Не кричать надо, а пользоваться своим правом обращения в суд!
Только пока все кричащие как-то не спешат идти в суд и доказывать нарушение своих прав.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

25

Re: Приказ ФСТЭК № 58 от 05.02.2010

Dmitry Leviev пишет:

Уважаемый toparenko!
Не кричать надо, а пользоваться своим правом обращения в суд!
Только пока все кричащие как-то не спешат идти в суд и доказывать нарушение своих прав.

Довести дело до Конституционного суда - это один из путей. Но не единственный wink

Например путь: Парламентские слушания 20.10.09 -> законопроект 282499-5/предложения по изменению в рамках Консультативного совета Минкомсвязи/предложения по изменению ЗоПД от АРБ и других СРО -> ...