Понимаю, что уже не новость, уже многие высказались и обсудили, но добавлю пожалуй немного от себя:
Во-первых какие мнения мы уже имеем:
- Алексей Лукацкий одним из первых сообщил общественности о выходе нового постановления, а также опубликовал пост, в котором расписал основные моменты и изменения, которые вошли (и не вошли) в итоговый документ. Порадовало предложение Алексея ко всему подходить "творчески" в части работы с данным документом.
- Довольно подробный анализ в своем блоге опубликовал Андрей Прозоров. В посте приведены наглядные таблички соотношения уровней и угроз, а также уровней и требований по защите.
- Своей таблицей, а также мнением относительно вопроса обязательности наличия контроллируемой зоны поделился Евгений Шауро.
Итак, если посмотреть глобально, то на самом деле те два проекта, которые мы уже успели обсудить, просто были слиты в один документ, а также требования о применении средств СЗИ, прошедших процедуру оценки соответствия, перевели на 4-ый уровень, так что
Поздравляю вас всех коллеги ! Теперь мы единственная страна, в которой защищают даже общедоступные данные !
Что касается трактовки и подходов, то на самом деле свой взгляд на модель, предложенную в документах, я уже высказал в своем посте тут, добавить пока больше нечего (ждем подзаконников), кроме следующих выводов, которые не совсем относятся к теме вышедшего постановления:
1. Вывод первый: регуляторы ни к кому лицом не поворачивались и гнут свою линию, слушать они никого не хотят и не будут ибо не барское это дело холопам слово давать !
Кстати, никого не смутило, что указанный документ не прошел ни проверку в Минюсте ни проверку в Минэкономразвития ? Может конечно по бумагам и прошли, но вот на сайтах этих ведомств они не появлялись, я следил. Есть еще вопросы ?
2. Вывод второй: никаких инструментов для репрессий у регуляторов ИБ нет, все их потуги рассыпаются в первом же суде (за доказательствами прошу к Алексею Волкову), так что может пора перестать боятся ?
3. Вывод третий: делать конечно с этим всем что-то надо, только усердствовать особо не стоит, того глядишь снова что-то поменяют.
4. Вывод четвертый: никто в России реальной безопасностью персональных данных как не занимался так и не будет заниматься. В ответ на невнятные документы операторы ответят либо игнором, либо махинациями с моделями угроз. Печально, хотя и ожидаемо....
5. Вывод пятый: Может быть нам всем пора заняться реальным делом ? Каждому на своем месте и тогда будет у нас порядок.
Facebook
1. У общедоступных данных помимо конфиденциальности есть еще целостность и доступность, которые тоже надо защищать.
ОтветитьУдалить2. Под регуляторами ты имеешь ввиду ФСБ? ФСТЭК как раз на контакт идет. Вот ей не все навстречу движутся.
3. Насчет Алексея Волкова все-таки стоит уточнить, что судился он с РКН, а не с ФСБ.
4. Постановления Правительства не должны проходить проверку в Минюсте. А это еще и в МЭР, т.к. не затрагивает права и обязанности гражданина и не устанавливает правового статуса для операторов ПДн.
Алексей, а можно уточнить случаи, когда для общедоступных справочников существует реальная необходимость обеспечивать доступность с использованием сертифицированных средств защиты?
УдалитьАлексей, вот когда дело до подзаконников дойдет, вот тогда и помотрим как ФСТЭК на контакт идет.
ОтветитьУдалить