Тема: Приказ ФСТЭК № 58 от 05.02.2010
http://base.consultant.ru/cons/cgi/onli … AW;n=97942
Статус 4-х книжья теперь неизвестен.
Клуб специалистов информационной безопасности
Клуб неформального общения специалистов в области информационной безопасности
Вы не вошли. Пожалуйста, войдите или зарегистрируйтесь.
Клуб специалистов информационной безопасности → Технические вопросы построения защиты ИСПДн → Приказ ФСТЭК № 58 от 05.02.2010
Чтобы отправить ответ, вы должны войти или зарегистрироваться
http://base.consultant.ru/cons/cgi/onli … AW;n=97942
Статус 4-х книжья теперь неизвестен.
Юридический статус 4-х книжья ФСТЭК России и Приказа №58 от 05.02.2010.
Все пять документов приняты на основании п.3 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (ПП781): «Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора.»
Положение о методах и способах защиты информации в информационных персональных данных устанавливает «методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор), или лицом, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо)» п.1.1.
Основные мероприятия являются методическим документом, определяющим мероприятия по организации и техническому обеспечению безопасности ПДн (не криптографическими методами) при их обработке в ИСПДн, в интересах решения задач:
проведения мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
своевременного обнаружения фактов несанкционированного
доступа (НСД) к ПДн;
недопущения воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
возможности незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;
постоянного контроля за обеспечением уровня защищенности ПДн.
Обеспечение безопасности ПДн с использованием криптографических методов в настоящем документе не рассматривается. Порядок организации и обеспечения указанных работ определяется в соответствии с нормативными документами Федеральной службы безопасности Российской Федерации.
Таким образом, все 5 документов действуют одновременно.
Таким образом, все 5 документов действуют одновременно.
Точнее не действуют одновременно т.к. приказ вступает в силу через 10 дней после его официального опубликования.
Мониторим РГ и после официального опубликования отсчитываем 10 дней.
На момент опубликования данного поста официально был опубликован приказ ФСТЭК, прошедший Минюст 15.02.2010.
Наиболее вероятно, что с всуплением в силу приказа уберут Основные мероприятия (именно с ними основной диссонанс), а остальные так и останутся методическими/рекомендательными, но не обязательными.
согласен с toparenko...про ТКЗИ хоть и не написано, но тут и так понятно что все останется как было ведь 128ФЗ и ПП504 никто пока не отменил...конечно если хотят сделать все по нормальному пора бы уж и приказ о порядке проведения классификации поменять
времени и так уж прошло достаточно а никто не шевелится...что то
Все достаточно просто - отменить основные мероприятия и рекомендации, из которых вышел приказ о классификации, можно приказом по ФСТЭК России.
Что касается официального опубликования - есть официальный сайт ФСТЭК - достаточно там опубликовать, также как поступило в прошлом году ФСБ России по административным регламентам - официально опубликовали на сайте.
Основные мероприятия и Рекомендации с 15 марта не применяются. Основание решение ФСТЭК России от 5 марта 2010 года http://www.fstec.ru/_docs/doc_781_1.htm
Официально опубликовали на сайте приказ №58 http://www.fstec.ru/_docs/doc_781.htm
Официально опубликовали на сайте приказ №58 http://www.fstec.ru/_docs/doc_781.htm
Официально опубликовали в РГ 5 марта. С этого момента пошло 10 дней до вступления в силу.
На сайте ФСТЭК опубликовали позже - т.ч. счетчик по РГ.
Главное что опубликовали приказ о замене основных мероприятий и рекомендаций. ВОт что делать теперь с классификацией специальных систем? Ведь рекомендации не действуют, а классификации для них нет в приказе трех.
ВОт что делать теперь с классификацией специальных систем?
Класс "специальная", защита из актуализации модели угроз/оценки рисков (только реально, а не профанировать)
Алгоритм первого этапа (до работы по инсайдерским рискам) я отдал на распространение DATUM-у
Основной вопрос - какой класс - от этого зависит какие угрозы рассматривать, а какие можно не рассматривать в Модели угроз. Если делать реальные МУ, то очень быстро можно дойти до К1 по требованиям!
Что касается алгоритма - он уже два года на всех конференциях обсосан. С вводом 58 приказа ничего не меняется по организационно-правовой форме, меняется подход доказательства необходимости технических мероприятий.
Основной вопрос - какой класс - от этого зависит какие угрозы рассматривать, а какие можно не рассматривать в Модели угроз. Если делать реальные МУ, то очень быстро можно дойти до К1 по требованиям!
Рассматривать следует все угрозы. Но защищаться не от всех угроз (угрозо-ориентированная модель защиты), а от актуальных и критических рисков (риск-ориентированная модель защиты)
Что касается алгоритма - он уже два года на всех конференциях обсосан. С вводом 58 приказа ничего не меняется по организационно-правовой форме, меняется подход доказательства необходимости технических мероприятий.
года 2 я вижу первым пунктом отправку уведомления.
Именно из-за этого и появился этот алгоритм, где совершенно иной порядок дейстий
Частично этот алгоритм пошел в Рекомендации ЦБ/АРБ (План приведения)
Кто говорит что надо отправлять уведомление?
Для отправки надо сначала работы по 1 и 2 этапу сделать...
Порядок действий у всех кто реально работает - единый-))
Кто говорит что надо отправлять уведомление?
Для отправки надо сначала работы по 1 и 2 этапу сделать...
Порядок действий у всех кто реально работает - единый-))
Вот про 2-й этап сомневаюсь - по нему в РФ всего несколько десятков компаний работают... Большинство пока на 1-м этапе.
странно - если считать банки - то моим данным вы неправы.
насчет туроператоров - есть такое
странно - если считать банки - то моим данным вы неправы.
насчет туроператоров - есть такое
Банк банку рознь. У нас банков порядка 1к штук
"Внизу" есть и такие у которых вообще специалистов по ИБ нет...
Dmitry Leviev пишет:Кто говорит что надо отправлять уведомление?
Для отправки надо сначала работы по 1 и 2 этапу сделать...
Порядок действий у всех кто реально работает - единый-))Вот про 2-й этап сомневаюсь - по нему в РФ всего несколько десятков компаний работают... Большинство пока на 1-м этапе.
и
Банк банку рознь. У нас банков порядка 1к штук wink
"Внизу" есть и такие у которых вообще специалистов по ИБ нет...
Как-то ваши утверждения в разных постах противоречат=)
toparenko пишет:Dmitry Leviev пишет:Кто говорит что надо отправлять уведомление?
Для отправки надо сначала работы по 1 и 2 этапу сделать...
Порядок действий у всех кто реально работает - единый-))Вот про 2-й этап сомневаюсь - по нему в РФ всего несколько десятков компаний работают... Большинство пока на 1-м этапе.
и
toparenko пишет:Банк банку рознь. У нас банков порядка 1к штук wink
"Внизу" есть и такие у которых вообще специалистов по ИБ нет...
Как-то ваши утверждения в разных постах противоречат=)
И в чем же они противоречат? В том, что я говорю что у нас в стране по инсайдерским рискам "работают" несколько десятков компаний и что не все банки по ним "работают"?
Или в том, что в мелких банках нет спецов по ИБ - потому для них и готовились рекомендации ЦБ/АРБ. И потому и вводится исполнение и проверка исполнения СТО БР.
PS: "Борьбу с инсайдерами" я не считаю работой по инсайдерским рискам ввиду абсурдности.
Начнем сначала:
риски нарушения правил со стороны работников у нас занимается достаточное кол-во компаний, даже если не брать нефте-газовый комплекс.
что касается рекомендаций ЦБ и АРБ - то для 1000 банков реально существующих не надо говорить о всей стране - это маленькая толика заказчиков, причем часть из них неприкасаемая.
Я говорю в данном случае о всех компаниях во всех отраслях. Во многих компаниях такие "специалисты" ИБ, что лучше бы их не было.
Насчет риска - главный риск - работа в РФ, где выполнение до буквы закона, а не духа приводит к наказанию.
Как это считать?
риски нарушения правил со стороны работников у нас занимается достаточное кол-во компаний, даже если не брать нефте-газовый комплекс.
Достаточное - это сколько (порядок - десятки/сотни/тысячи/its)?
Я считаю, что десятки.
Минимизация рисков нарушений правил со стороны всех работников (офисного планктона) и минимизация рисков со стороны секретносителей (инсайдеров) не совсем одно и то же
Выделение инсайдеров (и минимизация их количества) из массы "планктона" происходит еще на первом этапе.
особенно, если планктон работает с клиентами физиками-)))
P.S. давно так не улыбался. не надо судить по банкам о всех возможных юрлицах.
особенно, если планктон работает с клиентами физиками-))).
Вспомним случай с ВТБ.
"Утекли" 8 кредитных досье.
Урон субъектам?
Урон банку? Потом отбросим репутационный ущерб от "информационной волны"...
Другой вопрос когда не минимизированы секретоносители и планктон имеет доступ ко всей (или достаточно солидной части) базе клиентов...
P.S. давно так не улыбался. не надо судить по банкам о всех возможных юрлицах.
Так и не увидел порядка цифр
По банкам не сужу - т.к. знаком с ситуацией не только в банковском секторе (вообще-то из всего времени работы в коммерческих структурах в банковском секторе я проработал менее 30% времени)
152-ФЗ не защищает субъектов - это секира в руках государтсва и чиновников.
152-ФЗ не защищает субъектов - это секира в руках государтсва и чиновников.
Вот именно, что по букве Закона так.
А должно быть:
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Уважаемый toparenko!
Не кричать надо, а пользоваться своим правом обращения в суд!
Только пока все кричащие как-то не спешат идти в суд и доказывать нарушение своих прав.
Уважаемый toparenko!
Не кричать надо, а пользоваться своим правом обращения в суд!
Только пока все кричащие как-то не спешат идти в суд и доказывать нарушение своих прав.
Довести дело до Конституционного суда - это один из путей. Но не единственный
Например путь: Парламентские слушания 20.10.09 -> законопроект 282499-5/предложения по изменению в рамках Консультативного совета Минкомсвязи/предложения по изменению ЗоПД от АРБ и других СРО -> ...
Чтобы отправить ответ, вы должны войти или зарегистрироваться
Клуб специалистов информационной безопасности → Технические вопросы построения защиты ИСПДн → Приказ ФСТЭК № 58 от 05.02.2010
Currently installed 2 official extensions. Copyright © 2003–2009 PunBB.