В пятницу по наводке Александра Виноградова заглянул в Консультант и обнаружил там "Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных...".
Сам приказ как можно видеть датирован июлем, зарегистрирован в Минюсте 18 августа.Тем не менее приказ еще не опубликован, а значит еще не вступил в действие. Другое дело, что как мне кажется, публикация не заставит себя долго ждать.
Что же мы имеем с точки зрения требований:
Сам приказ как можно видеть датирован июлем, зарегистрирован в Минюсте 18 августа.Тем не менее приказ еще не опубликован, а значит еще не вступил в действие. Другое дело, что как мне кажется, публикация не заставит себя долго ждать.
Что же мы имеем с точки зрения требований:
Критики по приказу уже было высказано немало, лично меня конечно огорчило, что ФСБ предлагает защищать, причем ого-го как защищать системы 4-го уровня, к которым между прочим относятся в том числе ИСПдн, обрабатывающие общедоступную информацию. Зачем спрашивается ?
Оригинал представленной таблицы можно скачать тут - https://drive.google.com/file/d/0B-diDhbmRj8gQ1BlSHBtTF8xMFE/edit?usp=sharing
Facebook
==> Связаться со мной <==
Александр, небольшое уточнение.
ОтветитьУдалитьВсе, судя по всему, гораздо печальнее.
Структура документа такова, что все пункты Приказа действуют до конца документа, если явно не переопределены в нем.
Это я к тому, что в п. 9, 18, 21, 26 указан минимальный класс для каждого уровня, но необходимый класс СКЗИ определяется в соответствии с пп 10-14 Приказа ко всем типам УЗ, т.е. по факту - по модели нарушителя и угроз для СКЗИ.
Притом, по нарастающей (судя по формулировкам), достаточно выполнения по одном условию из каждого пункта.
Т.е. для неаккуратно написанной модели (условная "уборщица", имеющая доступ к оборудованию СКЗИ в сговоре с "мегакорпорацией зла") для уровня защищенности 4 может потребоваться СКЗИ вплоть до уровня КА!
Большое спасибо за наглядность!
ОтветитьУдалить