На сайте ФСТЭК размещен проект приказа "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных", который судя по всему приходит на смену пресловутому четверокнижию. Из интересного в нем:
планируется его подпись у директора ФСТЭК, а не его заместителявыбор и реализация методов и способов защиты информации в ИСПДн осуществляются на основе определяемых оператором угроз безопасности персональных данных (модели угроз) и в зависимости от класса информационной системы, определенного в соответствии с Приказом трех.методы и способы защиты информации ... в зависимости от класса информационной системы определяются оператором в соответствии с приложением к настоящему Положению. Приложение к Положению привязано к 4-м классам. Т.к. приказ трех у нас не определяет классов для специальных систем, то... опять свобода творчества.вместо детального перечисления длин паролей и другой тягомотины первой версии четверокнижия, в данном Положении просто перечислены основные механизмы защиты, что большой плюс (да и перечень на первый взгляд достаточно грамотный). Правда, вся тягомотина, присущая первой версии четверокнижия, перекочевала в Приложение. Но ее причесали, убрали нестыковки, повторы и просто невыполнимые или непонятные требования. Т.е. привели в читаемый вид.НДВ требуется только для ИСПДн 1-го класса (для 2-го и 3-го - по решению оператора)защита от утечек по техническим каналам осталась для 1-го класса (но фраза может толковаться свободно - "могут использоваться", а не "должны использоваться"). Для ИСПДн 2-го класса надо применять СВТ, удовлетворяющие требованиям национальных стандартов по электросовместимости и т.п. (все как в первом четверокнижии).в системах 1-го класса с голосовым вводом (IVR) или воспроизведением голоса требуется защита акустики.борьба с видовыми утечками реализуется оргмерами (отвернуть монитор от окна, например).Но самое главное!!! Ни слова про сертифицированные решения, аттестацию объекта информацизации и получение лицензии на ТЗКИ! Если документы пройдут в таком виде, то они станут более приближенными к реальности и за них уже не будет так стыдно, как за предыдущие редакции четверокнижия.
PS. Malotavr у себя в блоге более детально и концептуально прошелся по новому проекту.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.