На сайте ФСТЭК России появились:
В целом стало интереснее, да и документ ("состав и содержание...") стал "полнее" и "целостнее" и, я бы даже сказал, профессиональнее. Явных проблем и нестыковок практически нет, но посмотрим, что появится при более детальном анализе документа.
Теперь у нас есть время до 21.12.2012 подать свои рекомендации и замечания регулятору. Возможно мы сможем, что-то поправить... Как это сделать , поэтому не буду повторяться.
Не могу не отметить, что данная версия проекта документа как-то уж очень сильно пестрит явно пролобированными требованиями. Например:
- Привлекайте консультантов и интегратов (имеющих лицензии) и будет вам счастье: "п.4. Для проведения работ пообеспечению безопасности ПДн при их обработке в информационных системах операторами и (или) уполномоченными лицами в соответствии с законодательством РФ могут привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации."
- Все средства защиты должны быть сертифицированнми, другие формы оценки соответствия не подходят. Даже и не думайте "обойти" это положение: "п.5. Для обеспечения безопасности ПДн при их обработке в информационных системах применяются средства защиты информации, прошедшие в соответствии с законодательством РФ оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации."
- Крайне рекомендуется проводить аттестацию ИСПДн:"из п.6 ... По решению оператора (уполномоченного лица) оценка достаточности выбранных и реализованных в системе защиты персональных данных организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах может осуществляться в рамках аттестации информационной системы."
- обеспечение доверенной загрузки;
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации;
- регистрация событий безопасности;
- обеспечение целостности информационной системы и информации;
- защита среды виртуализации;
- защита технических средств;
- защита информационной системы, ее средств и систем связи и передачи данных.
Удивляетесь отсутствию таких уже привычных средств, как АВЗ, IDS, средств анализа защищенности? Зря, они появляются дальше по тексту, когда каждый из пунктов детально раскрывает и появляются дополнительные требования.
Кстати, ФСТЭК явно начал смотреть на более современные технологии и методы обработки информации, чего стоит, например, п.11 "Меры по обеспечению безопасности ПДн выбираются и реализуются в СЗПДн применительно ко всем объектам и субъектам доступа на аппаратном, системном, прикладном и сетевом уровнях, а также в среде виртуализации и облачных технологий.". Это не может не радовать.
Дополнительно к определенным мерам в документе есть небольшой отсыл на взаимосвязь классов СЗИ с уровнями защищенности, которые , а также набор базовых мер защиты (довольно обширный перечень) для каждого уровня защищенности ПДн, обрабатываемых в информационной системе (отдельная табличка в Приложении).
Более подробно описывать меры и средства сейчас не вижу смысла. Будем ждать итоговый (согласованный и утвержденный) документ.
Итого:
- Складывается такое впечатление, что данный довольно большой перечень требований и мер определен только с одной целью: часть из них убрать после получения рекомендаций от экспертов, но основные "фишки" (механизмы для зарабатывания денег) оставить.
- Приведение в соответствие ИСПДн требованиям станет тяжелее, существующие СЗПДн придется пересматривать и дорабатывать. А если еще и ...
- Надо ждать итоговой версии документа и надеяться, что часть мер уберут/сделают не обязательными и новые не добавят. Экспертное сообщество (и я в их числе) отправит свои рекомендации, может к нашему мнению и прислушаются.
