Меня не было в Москве чуть больше недели, посетил с друзьями Берлин и Амстердам. Был отличный повод - 30 августа я женился...За время моего отсутствия и "низкоинформационной диеты" произошло несколько событий, влияющих на регулирование информационной безопасности в России.
1. РКН подготовил разъяснения по биометрическим ПДн
А точнее разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим ПДн и особенностей их обработки. Сам документ можно скачать тут . Разъяснения подготовлены по результатам совместного обсуждения с представителями экспертного сообщества: А.В. Лукацким, Емельянниковым М.Ю., Волковым А.Н., Токаренко А.В., поэтому посмотреть итоговую версию мне было как минимум интересно. Документ получился довольно большой - 5 страниц, и для неподготовленного читателя понять его будет не просто.
Мнения экспертов по вопросу биометрических ПДн разделились:
- Михаил Емельянников - http://www.securitylab.ru/blog/personal/emeliyannikov/32583.php
- Алексей Лукацкий - http://www.securitylab.ru/blog/personal/Business_without_danger/32598.php
- Наталья Храмцовская - http://rusrim.blogspot.co.uk/2013/09/blog-post_4099.html
- Артем Аветян - http://www.securitylab.ru/blog/personal/avetjan/32573.php
Лично я считаю, что документ получился в целом полезный и его наличие крайне необходимо, ведь мы еще помним недавнее " мнение РКН про биометрические ПДн ".
Однако мне кажутся неверными следующие подходы:
2. ФСБ России рассмотрели рекомендации по КСИИ
Помните, совсем недавно мы писали комментарии на законопроект по безопасности критической информационной инфраструктуры ? ФСБ России проанализировали их ( сводка по предложениям ) и внесли изменения в итоговый документ .
Странно, что только я (Андрей Прозоров), Антон Еркин, Алексей Лукуацкий, Российская ассоциация электронных коммуникаций, Алексей Липатов и Александр Коробков откликнулись на просьбу предоставить свое экспертное мнение. Но об этом уже писал Лукацкий тут .
К сожалению (и удивлению), большинство предложений и замечаний "не учтены"...
3. ФСТЭК России начал обсуждение методических рекомендаций по защите информации
Началось обсуждение методического документа ФСТЭК России «Меры защиты информации в государственных информационных системах». Как это и было с Приказом 21 , обсуждение ведется в рамках экспертного совета, первое совещание было 06.09.2013 (к сожалению, не смог присутствовать).
Немного расскажу про документ. Он определяет содержание и требования к реализации организационных и технических мер защиты информации, подлежащих применению в государственных информационных системах в соответствии с приказом ФСТЭК России от 11 февраля 2013 г. № 17 и приказом ФСТЭК России от 18 февраля 2013 г. № 21. Документ довольно большой, порядка 150 страниц. Он содержит рекомендации и разъяснения по классификации ИС и порядку выбора мер защиты, и, что самое главное, детальные рекомендации по реализации мер защиты (примерно по 1-2 страницы под каждую конкретную меру).
Ждите продолжения...
Однако мне кажутся неверными следующие подходы:
- Фото на пропусках на территорию и в СКУД - это биометрические ПДн. Мое мнение - не каждое фото-изображение является биометрическими ПДн (они должны соответствовать определенным требованиям, например ГОСТ Р ИСО/МЭК 19794-5-2006 ).
- Отнесение к биометрическим ПДн "иных физиологических или биологических характеристик человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта". Если любые фото и видео - ПДн, то почему бы сюда не включить еще произведением изобразительного искусства, на которых изображены люди, а также текстовое описание людей... Мое мнение - не каждое фото-изображение является биометрическими ПДн, а видео-изображение, рисунки-изображения (включая фотороботы, шаржи, карикатуры и пр.) и текстовое описание людей не являются биометрическими ПДн. Кстати, по этому поводу есть хороший пост у Артема Аветяна - http://www.securitylab.ru/blog/personal/avetjan/28096.php
- Возможность ПДн быть биометрическими и не биометрическими (это про пример со сведениями в медицинских картах и примеры с фотографиями). Да, термин "биометрические ПДн" не конкретный, но, на мой взгляд, такое свойство "быть биометрическими" для ПДн должно быть неизменным от контекста и целей обработки.
2. ФСБ России рассмотрели рекомендации по КСИИ
Помните, совсем недавно мы писали комментарии на законопроект по безопасности критической информационной инфраструктуры ? ФСБ России проанализировали их ( сводка по предложениям ) и внесли изменения в итоговый документ .
Странно, что только я (Андрей Прозоров), Антон Еркин, Алексей Лукуацкий, Российская ассоциация электронных коммуникаций, Алексей Липатов и Александр Коробков откликнулись на просьбу предоставить свое экспертное мнение. Но об этом уже писал Лукацкий тут .
К сожалению (и удивлению), большинство предложений и замечаний "не учтены"...
3. ФСТЭК России начал обсуждение методических рекомендаций по защите информации
Началось обсуждение методического документа ФСТЭК России «Меры защиты информации в государственных информационных системах». Как это и было с Приказом 21 , обсуждение ведется в рамках экспертного совета, первое совещание было 06.09.2013 (к сожалению, не смог присутствовать).
Немного расскажу про документ. Он определяет содержание и требования к реализации организационных и технических мер защиты информации, подлежащих применению в государственных информационных системах в соответствии с приказом ФСТЭК России от 11 февраля 2013 г. № 17 и приказом ФСТЭК России от 18 февраля 2013 г. № 21. Документ довольно большой, порядка 150 страниц. Он содержит рекомендации и разъяснения по классификации ИС и порядку выбора мер защиты, и, что самое главное, детальные рекомендации по реализации мер защиты (примерно по 1-2 страницы под каждую конкретную меру).
Ждите продолжения...
