Comments 30
Скажите, пожалуйста, изменения в нормах и законах, о которых вы сказали, затрагивают только безопасность личных данных, или они имеют отношение к ИБ в целом?
У нас по закону жестко регламентируется только безопасность «Персональных данных». То есть, данные о конкретных людях.
Изменения касаются только этого куска. Коммерческую тайну и прочие виды данных, кроме гостайны, все вольны защищать по собственному усмотрению.
Изменения касаются только этого куска. Коммерческую тайну и прочие виды данных, кроме гостайны, все вольны защищать по собственному усмотрению.
Коммерческую тайну и прочие виды данных, кроме гостайны, все вольны защищать по собственному усмотрению.
ФСТЭК со своим приказом № 17 от 11.02.2013 с вами немного не согласен.
Тут я с вами не согласен.
Цитирую:
«Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы, а также операторов таких систем и являются обязательными при обработке информации в таких системах, функционирующих на территории РФ.»
www.consultant.ru/law/hotdocs/26071.html
© КонсультантПлюс, 1992-2013н
Цитирую:
«Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы, а также операторов таких систем и являются обязательными при обработке информации в таких системах, функционирующих на территории РФ.»
www.consultant.ru/law/hotdocs/26071.html
© КонсультантПлюс, 1992-2013н
Приказ исключительно на госорганы направлен.
тех продуктов которые способны эффективно решить поставленную задачу, а не просто махать как флагом бумажкой с печатью. Особенно СПО актуального последнее время, после заявлений Сноудена
Осталось доказать это пожилому дяденьке регулятору при проверке и дело в шляпе.
Ну, доказывать дядьке, мало понимающему в технической части, просто бесполезно. Тут нужно оперировать законами. Кстати, обычно проверяет Роскомнадзор, а они не имеют полномочий проверять техническую часть. Для них важны только административные регламенты, назначение ответственных и прочие сугубо юридические вещи.
Полномочия-то РКН имеют, это самый уполномоченный орган по защите ПДн, даже наказывать скоро смогут без обращения в прокуратуру. Другое дело, что проверяющие от РКН, как правило, некомпетентны в технических вопросах и сколько бы полномочий у них ни было бы, толком проверить ничего не смогут.
НЕТ!
habrahabr.ru/post/169527/
Или вы там пишете про другой РКН.
Или мы не о тех технических мерах говорим.
habrahabr.ru/post/169527/
Или вы там пишете про другой РКН.
Или мы не о тех технических мерах говорим.
Для государственных организаций использование сертифицированных средств защиты по-прежнему необходимо (см. п. 11 приказа ФСТЭК от 11 февраля 2013 г. N 17). В случае использования средств шифрования сертификация ФСБ по-прежнему является обязательной для всех операторов (см. Методические рекомендации ФСБ, утвержденные руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144).
После заявлений Сноудена от СПО спокойней не становится, так как даже в мировые стандарты NSA умудряется закладывать бэкдоры.
После заявлений Сноудена от СПО спокойней не становится, так как даже в мировые стандарты NSA умудряется закладывать бэкдоры.
Да, но на сколько я помню, контроль встраивания не требуется для КС1 и КС2. (Этим пользуется CheckPoint).
То есть, ставим любое отечественное шифрование и все по той же самой схеме.
То есть, ставим любое отечественное шифрование и все по той же самой схеме.
А для госорганов свои регламенты. У них там есть и ДСП, совершенно не относящиеся к обычным смертным.
Собственно, эта статья не про ИБ в госорганизациях.
Собственно, эта статья не про ИБ в госорганизациях.
Ну и вообще, в этом документе сказано
1) «Методическими рекомендациями необходимо руководствоваться в случае определения
оператором необходимости обеспечения безопасности персональных данных с
использованием криптосредств».
2) «Настоящие Методические рекомендации не распространяются на информационные
системы персональных данных, в которых:
персональные данные обрабатываются без использования средств автоматизации;
обрабатываются персональные данные, отнесенные в установленном порядке к
сведениям, составляющим государственную тайну;
технические средства частично или целиком находятся за пределами Российской
Федерации.»
3) «Требования к контролю встраивания криптосредства
Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со
стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на
разработку (модернизацию) информационной системы).»
О чем я и говорил выше.
1) «Методическими рекомендациями необходимо руководствоваться в случае определения
оператором необходимости обеспечения безопасности персональных данных с
использованием криптосредств».
2) «Настоящие Методические рекомендации не распространяются на информационные
системы персональных данных, в которых:
персональные данные обрабатываются без использования средств автоматизации;
обрабатываются персональные данные, отнесенные в установленном порядке к
сведениям, составляющим государственную тайну;
технические средства частично или целиком находятся за пределами Российской
Федерации.»
3) «Требования к контролю встраивания криптосредства
Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со
стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на
разработку (модернизацию) информационной системы).»
О чем я и говорил выше.
Не совсем всё так просто, тему «оценка соответствия — сертификация» я рассматривал у себя в блоге, почитайте — www.ivanboytsov.ru/2013/07/blog-post.html
Кроме меня и другие ИБ-блогеры рассматривали этот вопрос, гугл подскажет ссылки, мнения расходятся, но суть остается одна — либо лукавить и искать юридические заковырки, либо следовать позиции регулятора и спать спокойно. Вопрос в другом — сейчас ФСТЭК не проводит проверки негосударственных организацией, а РКН не занимается проверками систем и средств защиты, поэтому коммерческие организации могут более-менее расслабится. Но, РКН требует усиления ответственности за нарушения, связанные с ПДн, а ФСТЭК продавливает статьи в КоАП об ответственности за использование несертифицированных средств, поэтому со временем ФСТЭК наверняка дойдет и до негосударственных организаций, а ответственность к тому времени будет сильнее бить по бюджету.
Кроме меня и другие ИБ-блогеры рассматривали этот вопрос, гугл подскажет ссылки, мнения расходятся, но суть остается одна — либо лукавить и искать юридические заковырки, либо следовать позиции регулятора и спать спокойно. Вопрос в другом — сейчас ФСТЭК не проводит проверки негосударственных организацией, а РКН не занимается проверками систем и средств защиты, поэтому коммерческие организации могут более-менее расслабится. Но, РКН требует усиления ответственности за нарушения, связанные с ПДн, а ФСТЭК продавливает статьи в КоАП об ответственности за использование несертифицированных средств, поэтому со временем ФСТЭК наверняка дойдет и до негосударственных организаций, а ответственность к тому времени будет сильнее бить по бюджету.
Если статья не касается госов и муниципалов, то все гораздо проще. В новом приказе ФСТЭК по защите ПДн (№ 21 от 18.02.2013) черным по белому написано, что применение СЗИ, прошедших процедуру оценки соответствия необходимо, только в тех случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПДн. Поэтому рисуем модель угроз, пишем, что для нейтрализации этих угроз обойдемся оргмерами и несертифицированными СЗИ (а то и вообще встроенными функциями ОС), строим защиту, утверждаем необходимые бумажки и живем спокойно. В общем, во главе стола теперь — модель угроз. Также в новом приказе ФСТЭК появилась революционное словосочетание «с учетом экономической целесообразности» =) Главное все грамотно обосновать в модели угроз.
Что касается СПО, то ФСБ сейчас в проекте своего нового приказа по использованию крипты при защите ПДн пытается практически запретить использование СПО, а точнее ввести нереальное требование к классу криптографических средств при использовании СПО в ИСПДн. Если по нашей логике, мы можем проверить исходный код СПО на предмет закладок, то по логике ФСБ, злоумышленник может исследовать исходный код СПО на предмет поиска уязвимостей. В целом в новом проекте приказа ФСБ еще очень много нелепостей и несуразностей, посмотрим в каком виде его примут.
Это интересно.
Можно ссылку?
Можно ссылку?
Вообще проект располагался здесь: regulation.gov.ru/project/7847.html
Сейчас там написано «Проект удален». Достал текст, вот что там написано по этому поводу:
Сейчас там написано «Проект удален». Достал текст, вот что там написано по этому поводу:
14. СКЗИ класса КВ2 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 – 13 настоящего документа и не менее одной из следующих дополнительных возможностей:
в) возможность располагать исходными текстами входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ.
Значит адекватные люди там есть. У нас много всяких деятелей предлагают совершенно бредовые законы и приказы.
Я совсем не удивлен что в числе ФСБшников есть такие активисты.
Я совсем не удивлен что в числе ФСБшников есть такие активисты.
Вызовы программных функций — это API. То есть, они говорят об открытой платформе, использующей закрытый CSP.
Мдаааа… Хорошо что проект удален =)
Мдаааа… Хорошо что проект удален =)
Удален он скорее всего потому что они до 18 октября якобы принимали предложения от общественности, видимо после 18 октября и удалили. Теперь документ с внесенными поправками наверняка пылится где-нибудь в минюсте. Вся интрига теперь в том какие поправки внесли, а какие проигнорировали.
Посмотрим.
Мне интересно чем закончится эта инициатива.
На любую хитрую гайку мы что-нибудь придумаем =)
Мне интересно чем закончится эта инициатива.
На любую хитрую гайку мы что-нибудь придумаем =)
Интересно, а если речь о средствах шифрования распостраняемых на бесплатной основе сертификакция такая же дорогая? Были мысли на эту тему по поводу моей программки шифрования.
Каков вообще принцип ценообразования при сертификации?
Каков вообще принцип ценообразования при сертификации?
Sign up to leave a comment.
Защита информации и сертификация. Если нет разницы — зачем платить больше?