ПД: Новости. Слухи

Форум Сообщества Практиков Конкурентной разведки (СПКР)

Конкурентная разведка, Бизнес-разведка, Корпоративная разведка,
Деловая разведка по открытым источникам в бизнесе.
Работаем строго в рамках закона.

Дезинформация и активные мероприятия в бизнесе
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   ПД: Новости. Слухи
RSS

ПД: Новости. Слухи

<<Назад  Вперед>>Страницы: 1 2 3 4 5 ... ... 8 9 10 11 12 13
Печать
 
Vinni
Администратор

Всего сообщений: 2711
Рейтинг пользователя: 22


Ссылка


Дата регистрации на форуме:
5 июня 2009
_ttp://www.securitylab.ru/blog/personal/80na20/29858.php

[q]

...
Дождались, приказ ФСТЭК России №21 (он же SOISO) зарегистрирован в Минюсте. Приказ определяет состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн. Документ является ключевым для обеспечения безопасности ПДн.

Кратко напомню историю появления документа.
В начале ноября 2012 года было опубликовано Постановление Правительства РФ от 01.11.2012 г. №1119 "Об утверждении требований к защите ПДн при их обработке в ИСПДн". Оно отменило (признало утратившим силу) Постановление от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности ПДн при их обработке в ИСПДн", определило уровни защищенности ПДн (про них мы уже видели упоминание в 152-ФЗ в редакции от 25.07.2011) и общие требования к ним. Помимо этого в п.4 документа сказано:
«4. Выбор средств защиты информации для СЗПДн осуществляется оператором в соответствии с нормативными правовыми актами, принятыми ФСБ России и ФСТЭК России во исполнение части 4 статьи 19 Федерального закона "О персональных данных ".»
В части 4 статьи 19 152-ФЗ мы видим:
«4. Состав и содержание необходимых для выполнения установленных Правительством РФ в соответствии с частью 3 настоящей статьи требований к защите ПДн для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.»
Вот именно из-за этого ФСТЭК России и пришлось вносить правки в свои положения по защите ПДн. Регулятор пошел по пути издания нового документа, а не внесения изменений в старые. Первая версия (проект) требований появилась на сайте ФСТЭК России 7 декабря 2012 года. При этом регулятор попросил заинтересованных лиц присылать свои замечания и предложения, что мы и сделали…
В период с 28 января по 4 февраля 2013 года прошли три совещания во ФСТЭК России, на которые были привлечены внешние эксперты. Мы обсудили и внесли предложения по правкам, стараясь сделать требования по защите ПДн чуть более понятными и обоснованными, а также снизить нагрузку на операторов при их выполнении.
Последняя версию документа, которую я видел, была от 9 февраля. Она же с небольшими правками в текстовой части ушла в Минюст России уже 18 февраля. Сейчас приказ ФСТЭК России от 18 февраля 2013 г. № 21 « Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных » (Регистрационный №28375 от 14 мая 2013г. (МинюстРоссии)) уже доступен операторам ПДн.

Что же нового для операторов персональных данных несет данный документ?

Приказ ФСТЭК России от 5 февраля 2010 №58 официально утратил силу. Это было вполне ожидаемо в связи с выходом ПП1119, ведь последняя идеология СЗПДн (уровни защищенности) требовала внесения существенных правок в прежние требования к защите.
Изменился подход к выбору мер защиты. Процедура стала чуть сложнее, чем была до ПП1119, но теперь операторы ПДн могут отказываться от обязательных мер в угоду компенсирующим, учитывая их экономическую целесообразность. Подробнее об этом я уже писал тут .
Существенно изменился перечень мер защиты (по сравнению с подходом из ПП781 и Приказа ФСТЭК №58). Сейчас стало 15 групп мер, с кратким описанием содержания в приложении. Про изменение перечня мер от 1й редакции документа я писал тут. Итого сейчас мы имеем:
Всего мер - 109
Базовых мер для УЗ 4 - 27
Базовых мер для УЗ 3 - 41
Базовых мер для УЗ 2 - 63
Базовых мер для УЗ 1 - 69
Всего дополнительных (компенсирующих) мер - 40
Появились дополнительные меры, направленные на снижение актуальных угроз к 1 и 2 типа (НДВ). А именно могут применяться следующие меры:
проверка системного и (или) прикладного программного обеспечения включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых
тестирование информационной системы на проникновения
использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.
Требования к классам сертифицированных СЗИприведены к уровням защищенности. Информацию свел в таблицу:
Появилось требование по регулярной (1 раз в 3 года) оценке эффективности реализованных мер (п.6). Что интересно, в финальной версии SOISO, которую я видел, использовался термин "оценка достаточности мер".
Прописана возможность привлечения лицензиатов ФСТЭК для выполнения работ по обеспечению безопасности ПДн и (или) оценки эффективности реализованных мер (п.2, п.6).

Каждое из этих нововведений довольно интересно и требует глубокого вдумчивого анализа (особенно таблица с базовыми мерами) операторами ПДн. При этом меня уже радует тот факт, что можно довольно гибко подходить к выбору мер защиты, а не просто "в лоб" выполнять требования регулятора.

Удачи с изучением документа! Там есть над чем подумать...
...
[/q]
Scamoff
Молчун

Всего сообщений: 15
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
22 июня 2016


«База негодяев». В продаже оказались личные данные 20 млн россиян — в том числе фсбшников
OAO -K-
Молчун

Всего сообщений: 59
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
3 июня 2015
[q=Scamoff][/q]
в продолжение темы с Базой: _ttp://www.yaplakal.com/forum3/topic1464922.html
Scamoff
Молчун

Всего сообщений: 15
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
22 июня 2016
интересно. в тор сети уже продают? кто натыкался
<<Назад  Вперед>>Страницы: 1 2 3 4 5 ... ... 8 9 10 11 12 13
Печать
Форум Сообщества Практиков Конкурентной разведки (СПКР) »   Теория и практика работы с персональными данными »   ПД: Новости. Слухи
RSS

Последние RSS
шантаж, угрозы по Интернету
Практически весь интернет становится русскоязычным
SiteSputnik. Об одном подходе к мониторингу Телеграм
Безопасность при работе на ПК
Книги о критическом мышлении
Наказывать за вмешательство в частную жизнь, Верховный суд
CI Academic Materials
CiMi.CON Evolution USA
Поиск в КЭШ поисковиков по запросу и пакету запросов
СайтСпутник: Многоязычность, Юникод, MS ACCESS
Новый курс OSINT от АИС
Год тюрьмы за отказ удалять
Книга "Строим доверие по методикам спецслужб"
аналог "Консультанта" о зарубежном законодательстве
Открытые данные ФНС
Получаем информацию по VIN
Competitive-Market Intelligence Conference, Berlin 2018
Не все VPN-сервисы одинаково полезны
«Яндекс» научился выдавать в поиске не скрытые Google-документы. Правда лавочку
War and marketing: 1937 July 7th vs. 2018 July 1st

Самые активные 20 тем RSS