Рекомендации по ПДн от 4CIO

Рекомендации по ПДн от 4CIO
Продолжаю краткий анализ существующих рекомендаций по приведению себя в соответствие с ФЗ-152. Теперь настал черед рекомендаций клуба 4CIO. У них получилась этакая сводка ключевых фактов по данной теме - основные понятия, регуляторы, наказание, законодательство и т.п. Но очевидно, что авторы рекомендаций не сильно погружались в тему, т.к. никакого серьезного анализа законодательства, требований регуляторов... И никакого критического анализа, попыток найти способы оптимизации своих усилий. Рекомендации классические - классификация ИСПДн, изучение документов ФСТЭК, построение модели угроз, реализация защитных мер, уведомление РКН. Правда, не говорится, как построить модель, как правильно классифицировать ИСПДн или понизить класс, как уйти от параноидальных требований по защите, изложенных в первой версии четверокнижия...  Перечень внутренних документов, которые должны быть "по теме" меньше нужного в 4 раза ;-( А вот дальше уже интереснее. Идет раздел, в котором аккумулированы мнения ИТ-директоров различных компаний. Вот здесь есть, что посмотреть и почитать ;-) Написано и про аппетит интеграторов, и про нежелание тратить деньги в кризис, и про "секретность" документов ФСТЭК. Потом идет парафраз о "пользе" сертифицированного ПО. В качестве приложений приведен список интеграторов, занимающихся ПДн, список сертифицированного ПО и оборудования и контакты регуляторов.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!