В настоящий момент мы успели обсудить и внести предложения лишь по текстовой части документа, на следующем совещании (на этой неделе) будем рассматривать таблицу мер из приложения.
В настоящий момент могу сказать про документ:
- Принципиально документ не менялся и, видимо, уже не будет. Править ПП1119 нам тоже нельзя, ориентируемся на его положения.
- Большинство правок и предложений, которые мы с коллегами направляли во ФСТЭК России, учтены и внесены в новую редакцию документа. Документ стал "добрее" к операторам и чуть понятнее.
- ФСТЭК России ориентируется на скорейшее получение итогового варианта документа. Вероятный план его издания такой: мы в ближайшие дни еще один-два раза собираемся, обсуждаем и вносим правки во 2ю версию документа. Затем он публикуется на сайте ФСТЭК России в качестве проекта, еще несколько дней регулятор собирает оставшиеся замечания и предложения и в начале-середине февраля уже публикует итоговую версию.
- В дальнейшем ФСТЭК России планирует издать еще несколько документов разъясняющих требования и рекомендации по ПДн, например, про вопросы связанные с моделью угроз.
Теперь по правкам, которые уже внесены и/или будут внесены в ближайшее время (мы их обсудили сегодня):
- мелкие правки по тексту, в основном про уточнение терминов, внесения ясности в "обязательность и рекомендации", прояснение требований;
- упрощен пункт 4 про привлечение лицензиатов для выполнения работ по обеспечению безопасности ПДн;
- поправлен пункт 5 про сертификацию, вернулись к термину "прошедшие процедуру оценки соответствия" ( Алексей Волков улыбается );
- четко прописали, что базовый перечень мер может быть как расширен, так и уменьшен за счет модели угроз и компенсирующих мер;
- увеличен перечень групп мер, теперь их 13 (вместо 10 в первом варианте), отдельно вынесены:
- антивирусная защита;
- обнаружение вторжений;
- доступность ПДн и иных ресурсов информационных систем.
Не могу сказать, что это самая удачная группировка, попробую предложить другую, но этот вопрос не принципиальный (скорее смотрю со стороны удобства), поэтому скорее останется уже в таком виде. - возможно терминальные станции, как сейчас виртуальные среды, будут вынесены в отдельный пункт, мобильные устройства отдельно рассматриваться не будут (их защищаем с учетом представленных требований);
- внесены правки в моменты связанные с защитой машинных носителей: внесены правки в терминологию (не надо рассматривать жесткие диски отдельно от АРМ), убрано требование по маркированию;
- уточнено про физическую защиту (с точки зрения использования средств обработки вне контролируемой зоны);
- пробуем подобрать формулировку для возможности выбора мер защиты с учетом экономической целесообразности;
- ссылка на 7уровневую модель OSI (в конце текстовой части документа), вероятно, будет убрана;
- рассматривается вопрос по удалению положений по сертификации на НДВ.
В целом взаимодействовать с регулятором и коллегами понравилось, поработали продуктивно. Попробуем сделать хоть и не идеальный документ (полностью править нельзя), но хотя бы чуточку лучше.
