ПД: Новости. Слухи

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   ПД: Новости. Слухи
RSS

ПД: Новости. Слухи

  Вперед>>Страницы: 1 2 3 4 5 ... ... 8 9 10 11 12 13
Печать
 
Vinni
Администратор

Всего сообщений: 2710
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.securitylab.ru/blog/personal/80na20/29858.php

[q]

...
Дождались, приказ ФСТЭК России №21 (он же SOISO) зарегистрирован в Минюсте. Приказ определяет состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн. Документ является ключевым для обеспечения безопасности ПДн.

Кратко напомню историю появления документа.
В начале ноября 2012 года было опубликовано Постановление Правительства РФ от 01.11.2012 г. №1119 "Об утверждении требований к защите ПДн при их обработке в ИСПДн". Оно отменило (признало утратившим силу) Постановление от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн", определило уровни защищенности ПДн (про них мы уже видели упоминание в 152-ФЗ в редакции от 25.07.2011) и общие требования к ним. Помимо этого в п.4 документа сказано:
«4. Выбор средств защиты информации для СЗПДн осуществляется оператором в соответствии с нормативными правовыми актами, принятыми ФСБ России и ФСТЭК России во исполнение части 4 статьи 19 Федерального закона "О персональных данных ".»
В части 4 статьи 19 152-ФЗ мы видим:
«4. Состав и содержание необходимых для выполнения установленных Правительством РФ в соответствии с частью 3 настоящей статьи требований к защите ПДн для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.»
Вот именно из-за этого ФСТЭК России и пришлось вносить правки в свои положения по защите ПДн. Регулятор пошел по пути издания нового документа, а не внесения изменений в старые. Первая версия (проект) требований появилась на сайте ФСТЭК России 7 декабря 2012 года. При этом регулятор попросил заинтересованных лиц присылать свои замечания и предложения, что мы и сделали…
В период с 28 января по 4 февраля 2013 года прошли три совещания во ФСТЭК России, на которые были привлечены внешние эксперты. Мы обсудили и внесли предложения по правкам, стараясь сделать требования по защите ПДн чуть более понятными и обоснованными, а также снизить нагрузку на операторов при их выполнении.
Последняя версию документа, которую я видел, была от 9 февраля. Она же с небольшими правками в текстовой части ушла в Минюст России уже 18 февраля. Сейчас приказ ФСТЭК России от 18 февраля 2013 г. № 21 « Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных » (Регистрационный №28375 от 14 мая 2013г. (МинюстРоссии)) уже доступен операторам ПДн.

Что же нового для операторов персональных данных несет данный документ?

Приказ ФСТЭК России от 5 февраля 2010 №58 официально утратил силу. Это было вполне ожидаемо в связи с выходом ПП1119, ведь последняя идеология СЗПДн (уровни защищенности) требовала внесения существенных правок в прежние требования к защите.
Изменился подход к выбору мер защиты. Процедура стала чуть сложнее, чем была до ПП1119, но теперь операторы ПДн могут отказываться от обязательных мер в угоду компенсирующим, учитывая их экономическую целесообразность. Подробнее об этом я уже писал тут .
Существенно изменился перечень мер защиты (по сравнению с подходом из ПП781 и Приказа ФСТЭК №58). Сейчас стало 15 групп мер, с кратким описанием содержания в приложении. Про изменение перечня мер от 1й редакции документа я писал тут. Итого сейчас мы имеем:
Всего мер - 109
Базовых мер для УЗ 4 - 27
Базовых мер для УЗ 3 - 41
Базовых мер для УЗ 2 - 63
Базовых мер для УЗ 1 - 69
Всего дополнительных (компенсирующих) мер - 40
Появились дополнительные меры, направленные на снижение актуальных угроз к 1 и 2 типа (НДВ). А именно могут применяться следующие меры:
проверка системного и (или) прикладного программного обеспечения включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых
тестирование информационной системы на проникновения
использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.
Требования к классам сертифицированных СЗИприведены к уровням защищенности. Информацию свел в таблицу:
Появилось требование по регулярной (1 раз в 3 года) оценке эффективности реализованных мер (п.6). Что интересно, в финальной версии SOISO, которую я видел, использовался термин "оценка достаточности мер".
Прописана возможность привлечения лицензиатов ФСТЭК для выполнения работ по обеспечению безопасности ПДн и (или) оценки эффективности реализованных мер (п.2, п.6).

Каждое из этих нововведений довольно интересно и требует глубокого вдумчивого анализа (особенно таблица с базовыми мерами) операторами ПДн. При этом меня уже радует тот факт, что можно довольно гибко подходить к выбору мер защиты, а не просто "в лоб" выполнять требования регулятора.

Удачи с изучением документа! Там есть над чем подумать...
...
[/q]
Scamoff
Молчун

Всего сообщений: 15
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
22 июня 2016


«База негодяев». В продаже оказались личные данные 20 млн россиян — в том числе фсбшников
OAO -K-
Молчун

Всего сообщений: 59
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
3 июня 2015
[q=Scamoff][/q]
в продолжение темы с Базой: _ttp://www.yaplakal.com/forum3/topic1464922.html
Scamoff
Молчун

Всего сообщений: 15
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
22 июня 2016
интересно. в тор сети уже продают? кто натыкался
  Вперед>>Страницы: 1 2 3 4 5 ... ... 8 9 10 11 12 13
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   ПД: Новости. Слухи
RSS

Последние RSS
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
Безопасность данных в MS Access
Слово как улика
20 Recon and Intel Gathering Tools used by InfoSec Professionals
What’s Changed?
10 альтернативных поисковиков
Ситуационный центр главы Республики Коми
Развёртывание ситуационных центров на базе технологии Avalanche
Как принимать сложные решения. Советы бывшего оперативника ЦРУ.
Открытая информация о "Новичке" из сети интернет.
Ген. директор "ОЗХО" Ахмет Узюмдж о "Новичке" и хим. атаке в Сирии
Онлайн-сервисы для Twitter
Коллекция для Twitter
Приложение Opera VPN закрывается
О работе разведки
Deep web и 11 поисковиков по нему
Об изначальной "лживости" любых документов
Обновление на блоге HRазведка
методическое пособие

Самые активные 20 тем RSS
Слово как улика
Top tips on gathering information about companies by using free online sources
Новое на блоге HRразведка
WebSite Watcher
Безопасность данных в MS Access