понедельник, 8 сентября 2014 г.

Приказ ФСБ по ПДн видишь ? А он есть :)

В пятницу по наводке Александра Виноградова заглянул в Консультант и обнаружил там "Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных...".

Сам приказ как можно видеть датирован июлем, зарегистрирован в Минюсте 18 августа.Тем не менее приказ еще не опубликован, а значит еще не вступил в действие.  Другое дело, что как мне кажется, публикация не заставит себя долго ждать.

Что же мы имеем с точки зрения требований:



Критики по приказу уже было высказано немало, лично меня конечно огорчило, что ФСБ предлагает защищать, причем ого-го как защищать системы 4-го уровня, к которым между прочим относятся в том числе ИСПдн, обрабатывающие общедоступную информацию. Зачем спрашивается ?  

Оригинал представленной таблицы можно скачать тут - https://drive.google.com/file/d/0B-diDhbmRj8gQ1BlSHBtTF8xMFE/edit?usp=sharing

2 комментария:

  1. Александр, небольшое уточнение.
    Все, судя по всему, гораздо печальнее.
    Структура документа такова, что все пункты Приказа действуют до конца документа, если явно не переопределены в нем.
    Это я к тому, что в п. 9, 18, 21, 26 указан минимальный класс для каждого уровня, но необходимый класс СКЗИ определяется в соответствии с пп 10-14 Приказа ко всем типам УЗ, т.е. по факту - по модели нарушителя и угроз для СКЗИ.
    Притом, по нарастающей (судя по формулировкам), достаточно выполнения по одном условию из каждого пункта.
    Т.е. для неаккуратно написанной модели (условная "уборщица", имеющая доступ к оборудованию СКЗИ в сговоре с "мегакорпорацией зла") для уровня защищенности 4 может потребоваться СКЗИ вплоть до уровня КА!

    ОтветитьУдалить
  2. Большое спасибо за наглядность!

    ОтветитьУдалить