В связи с изданием приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456; опубликован: «Российская газета», 5 марта 2010 г., № 46) не применять с 15 марта 2010 г. для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных следующие методические документы ФСТЭК России:
- "Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных", утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.;
- "Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Взято с
сайта ФСТЭК (спасибо
malotavr за наводку).
18 коммент.:
;-)
Как теперь говорить правильно?
Трехкнижье? ;-)
Скорее легитимное однокнижье и нелигитимное двукнижье ;-)
Т.е. теперь на основании действующих документов можно четко сказать: данные о здоровье -> система специальная -> класс системы определяется на основании модели угроз?
Ну, сейчас наверно уже нет бредовых двух-, трех- или семи-книжий :)
Просто Приказ 58, а к нему методика по составлению модели угроз и "Приказ Трех" (все-таки не уйти от литературных аллюзий) по классификации ИСПДн.
Сколько информации в рунете устарело... и энциклопедии http://wikisec.ru, и книги http://www.maprest.ru/pdata/. А сколько людей потратили деньги на всякие меропрития, средства, аттестации и прочее... А потом спрашиваем, почему наша страна "так" живёт.
На эту тему на а-датум хорошо отписались:
http://www.a-datum.ru/index.php?option=com_content&view=article&id=98:2010-02-26-09-09-34&catid=36:2010-02-11-13-56-45&Itemid=67
to A:
А вы сами-то читали эту книгу?
Советую почитать, она опубликована в блоге Юрия Владимировича Травкина, там вообще нечему устаревать - только анализ российского закона и европейского законодательства.
Основные понятия и откуда ноги растут хорошо разжевано.
Уважаемые коллеги, может быть я не первый, кто задается данным вопросом ... но может быть предложить нашим регуляторам или операторам взять типовую ИСПДн (например 1С, которую многие используют)и разобрать ее по косточкам, начиная от классификации, построением модели угроз и т.д., как пример подхода по приведению к соответствию требованиям регуляторов ....
Прелестно
У нас как раз намечается семинар для медицинских работников, ответственных за защиту ПД. И весь доклад планировалось строить как развёрнутый ответ на вопрос "Как выполнить основные мероприятия?"
ФСТЭК как всегда вовремя со своими документами.
Прелестно
attendantofwood: Нет, не читал, спасибо за ссылку, почитаю.
RST: пусть они хотя бы определятся во мнениях, к какому постановлению относится 1С - к 781 или к 687.
Александру Шелипову: У медиков свои заморочки - приказы Минздрава-то по защите ПДн все еще действуют. Вот теперь вопрос - защищать по 58-му приказу или по документам Минздрава, построенным на старом четверокнижии.
Алексею Лукацкому
Мы основной упор делать будем на декабрьские методички минздравсоцразвития.
Беда в том что наш регоинальный минздрав их в глаза ещё не видел. А большая часть учреждений и не думала о выполнении этих требований. Будем опять с нуля разжёвывать.
Вот это и нехорошо ;-( Ибо эти методички гораздо жестче требуют защищать, чем 58-й приказ
По Минздраву 5 копеек: судя по-всему, придется новую НИР заказывать. 58 постановление оставляет намного больше возможностей для выбора способов защиты. Разработки многих документов можно избежать (к примеру, "Требования к ИСПДн" не упоминаются совсем). Я подозреваю, что 58 приказ поможет в том числе банкам продавить выполнение требований по СТО БР соответствующим реализации требований по защите ПДн. Предлагаю всем не торопиться и подождать разъяснений регуляторов на какой-нибудь конференции (самое главное, чтобы они прятаться не начали ;-)).Уверен, что сертификация в любом случае будет навязываться как действенный способ, а аттестация способствует уменьшению количества проверок по технической защите.
Алексею Лукацкому
Руководитель, узнав сегодня о решении ФСТЭКа, дал указание сделать акцент на определение актуальных угроз и их минимизации организационными мерами, чтобы избежать лишних финансовых затрат на приобретение систем защиты, ибо у областных учреждений (и не только у них) денег катастрофически не хватает.
Опять же в контексте приказа 58.
Посмотрим, что из этого выйдет.
зы. Сегодня представитель ФСТЭКа сами позвонили и предупредили чтоб мы не горячились пугаь врачей отменёнными методичками. Приятно было ответить ФСТЭКу что мы и сами оперативно следим за ситуацией)))
Респект за регулярные новости в этой сфере и низкий поклон от всего отдела)
Алексей, как вы думаете, что подразумевается под атрибутами безопасности в п.2.7 58 Приказа?
Я бы предположил, что речь идет об IPSec, но фиг его знает...
Отправить комментарий