пятница, 7 декабря 2012 г.

Две недели на работу


Под вечер пятницы, слегка просрочив обещанную дату, ФСТЭК таки сдержала слово и выложила проект приказа "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных» (первая редакция).
Нам, как "заинтересованным специалистам", предлагается рассмотреть подготовленный проект ни направить предложения по его совершенствованию на адрес электронной почты otd22@fstec.ru до 21 декабря 2012 г. Таким образом, мы с вами, дорогие друзья, имеем 2 недели на то, чтобы:
  1. Ознакомиться с их содержанием;
  2. Отыскать спорные вопросы;
  3. Свести их в вот такую таблицу (и в дальнейшем работать с ней);
  4. Ссылаясь на нормы НПА или здравый смысл обосновать, в чем проблема;
  5. Написать свой вариант "спорного" текста;
  6. Отправить заполненную табличку на указанный адрес;
  7. Где-нибудь ее (табличку) опубликовать.
Почему важен шаг №8 - я уже писал, и практика показывает, что не все вопросы учитываются и доходят до рассмотрения: счастливчик Ригель с 9 очками из 10 пока единственный, кто остался полностью доволен.

Я уже сделал шаг №1 - остальные на досуге отработаю. Да, и те, кто желает - не тяните со временем: лучше все сделать числа до 17-го.

38 комментариев :

  1. Olsy-2002-117.12.12

    На "скорую руку" увидел, что так называемыми "организационными мерами" в проекте документа и "не пахнет". Почему? Ответ банально прост. В ФСТЭК России видимо отсутствуют специалисты, способные хотя бы на начальном уровне в соответствии "Боевым уставом" ответить на вопрос: "Что такое организация боевых действий?" Бросаются словами туда и сюда, не понимая их сути.

    Итак. Моё первое замечание: упоминается, но реально отсутствует разделение мер на технические и организационные.

    ОтветитьУдалить
  2. Верно. А мое - по п. 5 :) Для обеспечения безопасности персональных данных при их обработке в информационных системах применяются средства защиты информации, прошедшие в соответствии с законодательством Российской Федерации оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации.

    ОтветитьУдалить
  3. Я со своими 13 очками из 17 тоже вполне доволен )


    учитывая, что после замечаний документ потолстел аж на 8 страниц - очень неплохой результат "обратной связи" получился.

    ОтветитьУдалить
  4. Ну прекрасно, Артем! Это реально круто. Правки были опубликованы?

    ОтветитьУдалить
  5. Александр Башканков10.12.12

    Пока не правка, тупо поржать. Порадовал п. 8.4.
    Исключить установку запрещенного ПО, а после того как его установка будет исключена (т.е. полностью) - запретить запуск его, родного, установленного.

    ОтветитьУдалить
  6. Александр Башканков10.12.12

    А теперь по сути. Сам ленивый, но вписать в табличку из п.4 имени других сим позволяю :-)
    Пункт 8 прямо с самого начала:
    В _-рамках системы защиты-_ персональных данных в _-целях снижения вероятности и/или опасности-_ актуальных угроз безопасности персональных данных и структурно-функциональных характеристик информационной системы персональных данных _-должны быть реализованы в полном или неполном объеме следующие комплексы организационных и технических мер-_:

    Пояснения: из текущей редакции текста вытекает, что все указанные "подмеры", расписываемые подробно в подпунктах 8.1 - 8.10 должны быть "включены" (новое слово? раньше не видел такого в их доках) в СЗПДн. Иными словами, разные уровни иерархии - меры и подмеры - названы одним словом МЕРЫ, что внутри меня, например, вызывает путаницу.



    Ну и с нумерацией у ФСТЭК беда, но это понятно - торопились.

    ОтветитьУдалить
  7. Владимир10.12.12

    Ну я думаю, там могут ответить что такое организация боевых действий, 90% работников ФСТЭК бывшие военные.

    А по сути, нет орг мер, и вообще документ сырой... рановато его пообещали (хотя тут тоже можно объяснить, во ФСТЭК никто не думал его делать, всё на потом откладывали, а после выхода 1119 на скорую руку нужно было, что-то изобрести). По мне так, туда засунули куски разные из гостов и документов, мол вот разбирайтесь.
    И формулировки опять двоякие, нет, чтоб просто написать ИСПДн должны быть аттестованы, Применяться для защиты сертифицированные средства (а то целый абзац не о чем)... В общем скинули они с себя работу на "заинтересованных лиц"

    ОтветитьУдалить
  8. did200010.12.12

    а мне это понравилось "Установить, что настоящий приказ применяется для обеспечения безопасности персональных данный во вновь создаваемых (модернизируемых) информационных системах персональных данных". Что мешает мне издать приказ о создании ИС задним числом и жить по старым правилам))) а главное наверное утвержается принцип, если нет каких либо документов, свидетельствующих о налиции ИС - не всякая реально существующая ИС может быть подвергнута проверке... Опыт в одной компании был, правда с проверкой РКН. Они пришли - им документы все дали и приказ об ИС на одном компе. РКН потолкалось... Все ок и ушли....

    ОтветитьУдалить
  9. did200010.12.12

    управление доступом субъектов доступа к объектам доступа - звучит то как)))

    ОтветитьУдалить
  10. did200010.12.12

    "8.4. Меры по ограничению программной среды должны исключать установку (инсталляцию) неиспользуемого в обработке персональных данных......" - то есть если на ПЭВМ обрабатываются ПДн, то иных функций не связанных с обработкой он не может осуществлять????

    ОтветитьУдалить
  11. did200010.12.12

    Весь приказ выглядит как нормальное ТЗ))) и ощущение что его и написали те кто оказывает услуги)))

    ОтветитьУдалить
  12. Алексей Тесцов10.12.12

    Первая реакция - зачем так долго тянули если просто переписали свой же документ по конфиденциалке? Ждали, пока его все обсудят.
    Писать замечания не вижу смысла по простой причине - сам вопрос стоит "вычитывание текста и нахождение грамматических ошибок", а не обсуждения подходов к защите, что продемонстрировал новый СТР-К.
    К требованиям претензий нет, по адекватности требований он естественно выше 58 приказа и всех предшественников, чего стоят хотя бы требования по обработке регистрационных записей и систем виртуализации.
    НО: где все промежуточные звенья, а именно методики моделирования - позиция "сами определяйте адекватность своих НДВ" мне кажется как минимум коррупционной. Напишите в явном виде, что оператор может относить свою систему к 4 уровню и ему за это ничего не будет...

    ОтветитьУдалить
  13. olsy-2002-1110.12.12

    Есть военные, которые занимались "Организацией" и которые в рамках этой деятельности по организации выполняли чисто технические действия. 90% сотрудников ФСТЭК России, надо полагать, именно оттуда - из подразделений по обеспечению боевых действий (Тыл, АТ, БТ, РАВ). Они в войсках-то "отмахивались" от организации, что уж говорить про гражданку.

    ОтветитьУдалить
  14. Сергей С10.12.12

    Еще "порадовал" п.12 - это требования к СЗИ: либо 4,5,6 класс защиты (пока профили защиты есть только для СОВ и антивируса) либо 5,6 класс защищенности СВТ - никакой сертификации по ТУ и проча и проча. Странно, что про НДВ не написали

    ОтветитьУдалить
  15. Sergey Borisov10.12.12

    Коллеги, табличка для вписывания замечаний в соответствии с пунктом 4 тут - https://docs.google.com/document/d/1Ufjvh4oJBLpKbLAQgA5m-Ug2ajo13sizOWzzK7nyekQ/edit
    Можно вписывать онлайн, либо забирать себе и потом выкладывать.

    Всё приложение я цитировать не стал. Лучше при необходимости вставить только нужные пункты.
    Лично у меня замечания к приложению вряд-ли будут, если будут соблюдены принципы зависимости от модели угроз.

    ОтветитьУдалить
  16. Sergey Borisov10.12.12

    Тут такая двойственность:
    1) сделают классификацию слишком простой - потеряется гибкость (все системы попадут в УЗ3 например) и все операторы будут нести одинаково большие расходы на защиту ПДн, независимо от ценности обрабатываемых данных
    2) сделают классификацию гибкой - найдется большое количество людей, которые скажут что ничего не понимают в этой гибкости


    Или такая тройственность:
    1) есть безопасники, которые хотят современных и эффективных требований по ИБ
    2) и есть безопасники, которые хотят чтобы требования были минимальными или чтобы их вообще не было
    3) есть субъекты ПДн, которые считают что операторы добровольно не будут защищать их ПДн и хотят чтобы государство установило максимально возможные требования к защите ПДн


    Вот меж этими огнями и находится ФСТЭК.

    ОтветитьУдалить
  17. Александр Башканков11.12.12

    А про НДВ вытекает из ПП РФ 1119. Не я один читаю его так, что если хотите УЗ полояльней - сертифицируйте на НДВ, не суть важно по какому классу? Правда с НДВ в общесистемном ПО не ясно.

    ОтветитьУдалить
  18. Сергей, с двойственностью где-то согласен - а вот с тройственностью однозначно нет. Любой безопасник должен обосновать свое существование, поэтому п. 2 - абсурден. В нем вместо безопасников нужно написать "бизнесмены". В конце 1 и 2 пункта - поставить ПДн. Ну и третье - это точно от лукавого. Субъектам ПДн наплевать, как оператор их ПДн защищает - ему важен результат (отсутствие ущерба), а в случае его отсутствия - компенсация такового.

    ОтветитьУдалить
  19. +1. Особенно виртуалка - как под vGate писано :)

    ОтветитьУдалить
  20. Александр Башканков11.12.12

    Тема не совсем эта, но на свой коммент отвечу. По итогам осмысления ПП РФ 1119, особенно в совокупности с проектом приказа, пришел к выводу, что угрозы НДВ в ОС следует считать неактуальными, если строго ограничен физдоступ к СВТ, а также есть навесные сетевые СЗИ типа МЭ, например (естественно, сертифицированные на отсутствие НДВ).

    ОтветитьУдалить
  21. Алексей Тесцов11.12.12

    К сожалению ни двойственности, ни тройственности не прослеживается.
    Делали строго к 7 декабря из того, что было. Это преемственность, как первые документы из КСИИ родились, так новые из КТ :-)

    ОтветитьУдалить
  22. Алексей Тесцов11.12.12

    И только Алексей Л. продолжает утверждать, что простым движением безо всякого обоснования любой оператор может признать угрозы НДВ неактуальными.... Документы выходят, а проблема не решается.

    ОтветитьУдалить
  23. Может он знает то, чего не знаем мы. А может свято верит. Он может :)

    ОтветитьУдалить
  24. Sergey Borisov11.12.12

    да чтото было ограничивающее, теперь полный доступ для всех

    ОтветитьУдалить
  25. Придумай как ограничить правки только своим текстом - а то вдруг враг заселится :) Или копируй ежедневно.

    ОтветитьУдалить
  26. Sergey Borisov11.12.12

    Тем не менее, после принятия 152-фз 2.0 с подачи некоторых экспертов, журналистов (сми) была серия публикаций об ущемлении прав субъектов, беззащитности ПДн и т.п.

    Даже в твоем блоге были заметки от роли субъекта ПДн http://anvolkov.blogspot.ru/2011/02/blog-post_15.html

    ОтветитьУдалить
  27. По поводу СМИ - это периодически муссируется, но ты же помнишь когда: когда надо было принять 2.0, когда какой-нибудь депутат набивает себе цену ну и т.д. Эта тема - предмет политики, не более. Решается путем реальной ответственности, а не штрафов за невыполнение. А ее-то как раз и нет. И поликлинику никто не наказал :)

    ОтветитьУдалить
  28. Sergey Borisov11.12.12

    К сожалению защищать определенные ячейки от записи в Google нельзя

    Но можно делать периодические резервные копии и есть File ->Revision History где можно посмотреть кто и когда делал изменения и откатится на любую предыдущую версию

    ОтветитьУдалить
  29. Olsy-2002-1111.12.12

    "Накидал" некоторые мысли по пункту 1-8 в табличке.

    ОтветитьУдалить
  30. did200012.12.12

    По сути это же полный - и слово сложно подобрать((( это теперь организациям выделять отдельные сегменты где кроме ПДн ничего не обрабатывается и ставить сотрудникам по два ПВЭМ))) ФСТЭК как и в ситуации с СТР-К толкает нас на создание "подотчетных" им ИС, которые будут "контролировать" их лицензиаты?(((

    ОтветитьУдалить
  31. olsy-2002-1112.12.12

    12.12.2012.
    На 7.30 - 7.50 (больше проверять надоело) официальный сайт ФСТЭК
    России не работал.

    Неужто столько много предложений по проекту документа
    под названием:
    "Состав и содержание организационных и технических мер по
    обеспечению безопасности персональных данных при их обработке в информационных
    системах персональных данных"?
    Или "мистика", блин...?

    ОтветитьУдалить
  32. Olsy-2002-1112.12.12

    Тут http://www.itsec.ru/forum.php?sub=7355&from=170 народ тоже обсуждает.

    1. Есть ли мысли про "коррупциогенность" еже лоббирование интересов лизензиатов по ТЗКИ, которые будут воплощать орг и тех требования в ИСПДн?

    2. И вообще, может ли Система защиты персональных данных создаваться для единичной информационной системы?
    Может быть всё-таки в ИС защита информации осуществляется с помощью Средств ЗИ?

    В соответствии с ГОСТ Р50922-96: «СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ  - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации».

    Как "прилепить" ГОСТ только в масштабе единичной информационной системы, которых у юр.лиц может быть с десяток?

    Тут уж как говориться "померла, так померла" - хоть стой, хоть падай, а организовывать-то нужно и руководство, которое отдаёт указания исполнителям, исполнителей, которые обрабатывают ПДн в ИС, исполнителей, которые настраивают СЗИ и ИС по установленным правилам. Короче, организация или организационные меры - это РАБОТА С ЛЮДЬМИ, а не с железом.

    ОтветитьУдалить
  33. OlSY-2002-1112.12.12

    И ещё одна "фишка":
    Настоящий документ… устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее – информационные системы), ПРИНИМАЕМЫХ ОПЕРАТОРАМИ
    Настоящий документ предназначен для ВЫБОРА ОПЕРАТОРАМИ… организационных и технических мер по обеспечению безопасности персональных данных и их реализации в системе защиты персональных данных
    Операторы, как Юр. лица, в большей своей массе представлены ни Лукатским, ни Царевым, ни Волковым, ни штатными сотрудниками по ЗИ, "дядь Ванями и тёть Манями" в школах, детских садах, в больницах, и в обыкновенных малых предприятиях.

    Это для них написаны пункты 8.1 - 13? Не смешите "бабушку - она и так смешная". Что-то мне это стало напоминать тест по ЕГЭ, или даже игру когда игра идёт по правилам, которые меняет в ходе игры один из игроков.

    ОтветитьУдалить
  34. Olsy-2002-1113.12.12

    Исходя из того, что некоторая часть руководства и специалистов по ЗИ могут негативно относиться к возможности применения армейских алгоритмов организации проессов управления, предлагается ознакомиться и "заточить" под проект документа пункт 8.1. "8.1 Организационные и физические защитные меры", изложенный в ГОСТ Р ИСО/МЭК ТО 13335-4 —2007 (http://www.altell.ru/documentation/standards.html)

    ОтветитьУдалить
  35. olsy-2002-1116.12.12

    И ещё одна "фишка", которая очевидна, проста и поэтому многими незамечаема в проекте документа:

    Пункт 1: «Настоящий документ… устанавливает состав и содержание организационных и
    технических мер по обеспечению безопасности персональных данных при их обработке
    в информационных системах персональных данных (далее – информационные системы),
    ПРИНИМАЕМЫХ ОПЕРАТОРАМИ».
    Пункт 3: «Настоящий документ предназначен для ВЫБОРА ОПЕРАТОРАМИ… организационных и
    технических мер по обеспечению безопасности персональных данных и их реализации
    в системе защиты персональных данных».
    Однако, операторы ИСПДн, как Юр. лица, в большей своей массе представлены ни Лукацким,
    ни Царёвым, ни Волковым, ни штатными сотрудниками по ЗИ, а обыкновенными "дядь
    Ванями и тёть Манями" в школах, детских садах, в больницах, и в
    обыкновенных малых предприятиях и даже в отделах кадров и в бухгалтериях
    средних и больших предприятий.
    То есть надо полагать, что это для них написаны пункты 8.1 - 13?
    Да они прочитав такую «пЕрловую кашу»: «управление ПРЕДОСТАВЛЕНИЕМ ДОСТУПА СУБЪЕКТОВ ДОСТУПА К ОБЪЕКТАМ ДОСТУПА (РЕАЛИЗАЦИЮ различных методов, ТИПОВ И ПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПА), в том числе ПРИ СОВМЕСТНОМ ИСПОЛЬЗОВАНИИ информации несколькими СУБЪЕКТАМИ ДОСТУПА»;
    если «не выпадут в осадок» сразу, будут рады по несколько раз на день повторять любые русские скороговорки, начиная с «карл у клары украл кораллы».
    Не смешите "бабушку - она и так смешная". Что-то мне это стало напоминать тест по ЕГЭ, или даже игру, когда игра идёт по правилам, которые меняет в ходе игры один из игроков.

    ОтветитьУдалить