tag:blogger.com,1999:blog-7101910961245278683.post909473758064324253..comments2023-12-22T13:56:19.216+03:00Comments on Рецепты безопасности от Емельянникова: О гражданской инициативе, персональных данных и ЗАГСах. Часть 2. Про техническую защиту и дорожную картуМихаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.comBlogger6125tag:blogger.com,1999:blog-7101910961245278683.post-57346689003021542522014-01-16T20:46:41.801+04:002014-01-16T20:46:41.801+04:00Ну кто бы с этим спорил. Я сразу сказал, что рассм...Ну кто бы с этим спорил. Я сразу сказал, что рассматриваю вопросы, связанные с обработкой именно персданных, поскольку они затрагивают права и свободы граждан.<br />А вы можете представить директора чего-то там прокатного завода с высшим техническим, у которого нет СИБ, поскольку она ему на фиг не нужна, и который "принимает модель угроз или сам ее разрабатывает"? Я - нет.<br />Именно поэтому кто-то (Минюст, например) и должен сделать документ для ЗАГСов, где написано: "актуальны угрозы только третьего типа, уровень защищенности - второй, частная модель для ИСПДн, подключенной к инету - вот, для неподключенной с клиент-серверной архитектурой - вот, для автономного АРМ- вот. Актуальные угрозы нейтрализуются - вот. Бюджет на одно рабочее место ... В договор с исполнителем вписать об ответственности следующее..." <br />Чтобы "женщины явно не с техническим образованием" этим не заморачивались.Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-13807922534766926872014-01-16T19:57:23.236+04:002014-01-16T19:57:23.236+04:00ну так "...для обеспечения безопасности персо...ну так "...для обеспечения безопасности персональных данных при их обработке в государственных информационных системах в дополнение к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, необходимо руководствоваться требованиями (в том числе в части определения уровня защищенности персональных данных), установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119. При этом в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17." (информационное сообщение ФСТЭК от от 15 июля 2013 г. N 240/22/2637). И естественно 211.<br />А с "дайте людям хоть что-то..." я с Вами полностью согласен, но еще раз повторю, в большинстве случаев это "хоть что-то" реализовывать некому. Мне лично сложно представить начальника какого-нибудь районного ЗАГс (в основном это женщины, явно не с техническим образованием) который принимает у лицензиата модель угроз или сам ее разрабатывает.<br />Ditrichhttps://www.blogger.com/profile/04582045081649262878noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-74958428900855139182014-01-16T19:36:24.341+04:002014-01-16T19:36:24.341+04:00При случае можно поспорить, но не в комментах. ЗАГ...При случае можно поспорить, но не в комментах. ЗАГСы все занимаются абсолютно одним и тем же с разной степенью техоснащения и объемом данных. Поэтому именно для них методдокумент написать можно. И Минздрав здесь не показателем, поскольку между ЦКБ и частнопрактикующим стоматологом разница колоссальная. А начинать с чего-то надо.Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-54279900924738507952014-01-16T19:31:04.478+04:002014-01-16T19:31:04.478+04:00Я не только о П-21 писал, но и о П-1119, и П-211. ...Я не только о П-21 писал, но и о П-1119, и П-211. П-17 не касался умышленно, поскольку речь шла о персданных. С чего-то надо начинать. С федеральной ГИС для регистрации сейчас - вряд ли. А выполнять требования надо сегодня. Во всяком случае закон ФОИВ к этому обязывает. Нет НПА - дайте людям хоть что-то, чтобы они поняли, что делать.<br />Михаил Юрьевич Емельянниковhttps://www.blogger.com/profile/02718738745562762098noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-28195456811680401182014-01-16T18:55:15.052+04:002014-01-16T18:55:15.052+04:00Не общую методичку надо делать, а федеральную ГИС ...Не общую методичку надо делать, а федеральную ГИС с региональными сегментами, и требованиями по обеспечению безопасности этих сегментов, от рабочих мест до ИКТ инфраструктуры. Ну и потом, Вы все время говорите о 21 приказе, но любая ИС ЗАГс это не сто иное как ГИС или МИС (в зависимости от уровня), т.к. создается для выполнения государственных функций, поэтому говорить надо о выполнении требований 17 приказа и постановлений 211 и 1119. <br />К сожалению в государственных структурах на региональном уровне (за МКАД) специалистов по ИБ крайне мало, ну нет тут таких зарплат как в у коммерсантов и не будет. Про муниципальный вообще говорить не стоит. Меры естественно надо реализовывать, но вопрос как... Либо своими силами, либо силами лицензиатов. Услуги лицензиатов в полном объеме, начиная от разработки ТЗ и заканчивая установкой СЗИ и аттестацией, могут составить до 50% стоимости самой АИС, сюда же надо добавить средства на содержание системы защиты, сопровождение СЗИ, аутотренинг по ИБ если нет своих специалистов. Опять же эти услуги не всегда оказываются качественно и одекватно оценить и принять их неспециалисту невозможно, отсюда еще одна статья расходов - экспертихы на разных этапах. Вот и получается что в регионах проще создавать некие региональные структуры (не госслужащих, а бюджетников) которые большинство этих работ возьмет на себя, он опять возникает проблема с кадровым обеспечением из-за высокого уровня ЗП в данной сфере у коммерсантов.<br />Основная проблема не в отсутствии требований или методичек, а отсутствие персонала, способного эти требования реализовать!<br /><br />Ditrichhttps://www.blogger.com/profile/04582045081649262878noreply@blogger.comtag:blogger.com,1999:blog-7101910961245278683.post-39354516582758756312014-01-13T09:03:59.620+04:002014-01-13T09:03:59.620+04:00(и снова не прохожу мимо, видимо пока ещё спокойно...(и снова не прохожу мимо, видимо пока ещё спокойное начало года позволяет не как обычно просто просматривать, но и немного буквы набирать)<br />О том, что государству нужно всегда начинать с себя - в России почти никогда не работало, а в общем-то хотелось бы.<br />Но этого нет, как нет единства даже у того же регулятора. Достаточно посмотреть как различаются политики по обработки ПДн у каждого регионального РКН, как отличаются уведомления и приказы о проведении проверок.<br />А вот с одной методичкой не согласен. Я видел много попыток таких единых, всеобъемлющих подходов, но полностью работоспособных не видал. Либо всё заканчивается очень обощёнными, не работающими, а за частую и бредовыми "рыбами", либо к "одной" методичке, составленной автором, ушедшим в глубины философии особенностей обработки ПДн - требуются разъяснения.<br />Да и не бывает так, чтобы можно было взять шаблон и вписать в него наименование учреждения и ФИО руководителя.<br />Как пример старенький пакет документов от Минздрава - это было здорово на тот момент, но на самом деле это не сработало как, скорее всего, планировалось.<br />Да и от ЗАГСа к ЗАГСу ситуация будет разная.<br />Для гос орнанов есть законодательсво, которого для них написано больше.<br />Объять не объятное - это к Козьме Пруткову.<br />В любом случае нужен мозг, человек, которого не так много имеется в наличии.<br />Гос учреждениям нужен тягач. Тот что есть сейчас в виде регуляторов с их приказами, правительства с постановлениями, президента с подписанными федеральными законами - не хватает как мы видим. Да в общем-то они теоретики, а ЗАГсу нужны практики. Но порождать гидру бюрокротического аппарата госслужащих не хочется.<br />Возможно в гос учреждениях всё должно развиваться самостоятельно, безусловно подталкиваемое со стороны, но ни в коем случае не покрываемое. Перед законом должны быть равны все.Gmshikhttps://www.blogger.com/profile/10825827221040267565noreply@blogger.com