Итак свершилось... То, о чем я писал пару-тройку недель назад свершилось - ФСТЭК выпустил новую версию своих требований по защите ПДн - приказ от 5.02.2010 58 "Об утверждении положения о методах и средствах защиты информации в ИСПДн" (в Консультанте и в Гаранте ). Он утвержден директором ФСТЭК и зарегистрирован в МинЮсте 19 февраля.
Учитывая легитимность этого документа (и нелигитимность четверокнижия), основание выпуска этого приказа (тоже во исполнение пп-781) и срок выпуска этого приказа (он более новый, чем четверокнижие), а также исходя из общих норм права, можно сделать вывод, что приказ 58 пришел на замену (а не в дополнение) предыдущих документов ФСТЭК по теме персданных.
Второй приятный момент в документе - отсутствие требований лицензирования, аттестации и применения сертифицированных СЗИ. Последние нужны только для ИСПДн 1-го класса и только в части отсутствия НДВ.
Все защитные меры разрабатываются только исходя из модели угроз и класса ИСПДн - никаких заранее готовых перечней механизмов защиты не предусматривается. Класс определяется только исходя из "Приказа трех". Это один из скользких моментов, т.к. "приказ трех" не предусматривает дополнительной классификации специальных систем, а типовых систем в природе не существует. А вот перечень методов и способов защиты (перекочевал из четверокнижия), приведенный в Приложении к Приказу, привязан к классам типовых систем.
Как решать этот парадокс пока не совсем понятно. Я придерживаюсь точки зрения, что раз методики классификации спецсистем не существует, то мне остается только самостоятельно (или с привлечением лицензиата) разработать перечень защитных мер исходя из модели угроз. А перечень из приложения к приказу - всего лишь рекомендация, не более.
С ПЭМИН борьба только при актуальности данной угрозы.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.