Сообщения

Сообщения за январь, 2015

СЗПДн. Вопросы и ответы. Выбор мер обеспечения безопасности ПДн и проблема СЗИ

В конце прошлого года у меня подобралось несколько вопросов в рамках защиты ПДн, по которым не было однозначного ответа. При этом ряд знакомых экспертов (Артем Агеев, Николай Домуховский и д.р.) советовали не заниматься публичными рассуждениями, а писать письма регуляторам. Письма были написаны, давайте посмотрим что получилось с вопросами к ФСТЭК России: Вопрос 1. Возможно ли при выборе мер обеспечения безопасности ПДн в ИСПДн исключать меры защиты из базового набора, на том основании, что связанные с данной мерой угрозы безопасности ПДн – неактуальны? а) Если да, то на каком этапе выполняется данное исключение (адаптации, уточнения, дополнения)? (примечание автора – данный вопрос возник с связи с наличием различных трактовок приказа №21 ФСТЭК в части исключения мер защиты , так как в явном виде в приказе не указано, что исключение возможно исключение мер защиты, связанных с неактуальными угрозами. Так-же сторонники “возможности исключения” не могут назвать явно, на како

СЗПДн. Анализ. Оценка соответствия

Выводом из предыдущей статьи орегистрации событий ИБ была необходимость оценки соответствия большинства компонентов ИС / ИТ-инфраструктуры. Так как этих компонентов много, не все они сертифицированные, есть задача обеспечения оценки соответствия наиболее простым способом. Большое количество экспертов, в том числе Алексей Лукацкий, придерживаются мнения что способ оценки соответствия оператор выбирает самостоятельно в соответствии с ФЗ-184 (в условиях пока не опубликован и не зарегистрирован ПП 330) Давайте примем на минутку данную точку зрения и подумаем, как и в какой форме нам лучше вписать оценку соответствия в обычный комплекс работ по созданию / модернизации СЗПДн. Напомним себе основные моменты из законодательства: 152-ФЗ: “Статья 19. Меры по обеспечению безопасности персональных данных при их обработке 1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты пе