Позволю себе немного подправить:
могут применяться по решению обладателей информации, заказчиков и операторов государственных информационных систем в части, не противоречащей Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17.
Кроме того, положения СТР-К и РД АС применяются по решению обладателя информации для защиты информации, содержащей сведения конфиденциального характера (Указ Президента РФ от 6 марта 1997 г. N 188), обрабатываемой в информационных системах, не отнесены к государственным информационным системам.
И вот по опыту — техпаспорт то они все равно спрашивают, а техпаспорт есть только в СТР-К… Да и при лицензировании им надо отправлять набор документов, среди которых опять же техпаспорт есть....
Хы, а вы хотели чего-то иного после цитата:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
В этом после вся суть защиты ПДн… когда надо оно мешает, но никак не защищает…
Это вы все верно написали, но ФСТЭК в лице проверяющих до сих пор еще ссылается на СТР-К, который вообще ДСП… И формально даже после 17 и 21 приказа он не отменен. И там есть и про техпаспорт и про модель угроз, хотя про модель — тоже косвенно.
у нему опять нет методики определения ущерба это раз… А значит за обработку ПДн без должных мер статтья 13.11КОАП иии… ничего за утечку (ну 5 т.р. за моралку по суду) И для чего тратить 80+тыр на защиту одного рабочего места?
там можно работать по банку данных если не хотите экспертную оценку, я когда в прошлом году разбирался — пришлось совмещать эти 2 метода, иначе бред получается...
Вы открывали этот банк? — там 30% не меньше угрозы в стиле "выполнение кода в UEFI" — и как защищаться? как отбрехиваться от этого? УЕФИ есть у всех современных компов, это мне средства доверенной загрузки в УЗ4 теперь пихать? А ен жирно будет?
Как этот банк бьется с мерами по 21/17 приказам — я неделю потратил пытаясь распихать 85 что-ли на тот момент угроз по мерам 17 приказа… получилось не все…
И это только то, что возникло при поверхностном знакомстве с проектом новой модели…
Так что… работаем как и раньше — делаем фуфел для проверяющих и строим совместно с техотделом реальную защиту реальными инструментами, а не сертифицированной, прости господи, виндой (зы работаю с госами в основном)...
Вот Вы, кстати, верно отметили, что есть реальная защита, а есть бумажки… И будь я на месте ИП ООО или ОАО (если это не банк) — то я сделал бы фуфел из документов для проверяющих за 30т.р. а остальные силы направил на реальную защиту. Которая, увы, к существующим документам, что старым, что новым, имеет очень отдаленное отношение…
Но мой взгляд реальных докуметов из существующих 30+ только 6:
0) Положение о ПДн в каком-либо виде
1) Модель угроз — реальная, а не этот бред 2008-20015 года, ну или их надо серьезно дополнять
2) Инструкция пользователям, подробная включая меры по работе с антивирусом (типа проверять флешки, не запускать почтовые вложения)
3) Инструкция по резервному копирования и восстановлению для админов, там же раздел про личные файлы пользователей
4) технологический процесс. Подробный что как куда, с указанием портов и расположения оборудования. (технический паспорт в том виде в котором он сейчас представлен нафиг не нужен) В качестве хорошего дополнения существующей схеме СКС и коммутационному журналу.
5) Документ — матрица доступа
Опционально можно еще добавить документ по Wi-Fi — гостевой рабочий, но можно это включить в 5 пункт.
Все! остальное большой фуфел и просто марание бумаги и потеря времени, не имеющего ничего общего с реальностью…
Для ГИСов, конечно, надо дословно и полно....
Это вот та, которая по банку угроз будет? Ох… Очередная куча потраченного на бесполезную ерунду времени. Если проект не сильно поменялся, то мы возвращаемся во времена 3х-главого приказа, когда куча документов есть, но между собой они, прямо скажем, достаточно слабо пересекаются…
Все классно, да. Я в свое время думал о подобном девайсе, да и сделать такое самостоятельно сложностей не вызывает… Основная проблема, определения правильности выполнения, например когда учишься кататься на бооде, это определить угол склона, т.к. закантовку нужно производить в зависимости от того, какой крутизны склон(больше угол — больше угол закантовки). Придумать, как элегантно решить этот вопрос, без ГПС и прочего я не смог… Без этого с точки зрения обучения очень много вопросов, а вот с точки зрения выполнения элементов — может быть… Все мое ИМХО
Как мне кажется, не все так однозначно. В интернете гуляет видео как водитель, увидев что к нему сзади несется грузовик и не успевает затормозить (а при отказе тормозов эта система не поможет) буквально вбился (естественно задев) между двумя впереди стоящими авто. Что позволило сохранить жизненное пространство и избежать жертв, но возможно, увеличило материальный ущерб…
Хм… может быть это для кого-то новость, но безопасники всегда это знали… особенно на этом фоне радует кипишь вокруг защиты ПДн, тупых нормативок, родом из 90х… Кипы прошитых журналов… Хотя все решается 5-10 тыс в зубы нужному человеку или втиранием к нему в доверие или, банально, приходом в бухгалтерию с целью обновления 1С %))) Вариантов — море… Вот только внутренний нарушитель никогда ни в одних документах не будет указан как возможный, кроме разве что банков, т.к. это сразу же несет огромные финансовые затраты на защиту, которую всегда можно легко обойти… Как уже выше писали мобильники с камерами, флешки… Да HDD можно тупо снять и принести завтра, у вас же блоки опечатаны, да?;)
Ну и вопрос напоследок (который я примерно в таком варианте как-то встретил на просторах сети), если ИБ смог доказать факт умышленной кражи и наказать в суде такого «менеджера» является ли отдел ИБ эффективным?
(правильный ответ нет, т.к. инфа уже уплыла...)
Только лояльность, ну или драконовкие меры и регистрацией каждого чиха, но и они не помогут…
могут применяться по решению обладателей информации, заказчиков и операторов государственных информационных систем в части, не противоречащей Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17.
Кроме того, положения СТР-К и РД АС применяются по решению обладателя информации для защиты информации, содержащей сведения конфиденциального характера (Указ Президента РФ от 6 марта 1997 г. N 188), обрабатываемой в информационных системах, не отнесены к государственным информационным системам.
И вот по опыту — техпаспорт то они все равно спрашивают, а техпаспорт есть только в СТР-К… Да и при лицензировании им надо отправлять набор документов, среди которых опять же техпаспорт есть....
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
В этом после вся суть защиты ПДн… когда надо оно мешает, но никак не защищает…
И это только то, что возникло при поверхностном знакомстве с проектом новой модели…
Так что… работаем как и раньше — делаем фуфел для проверяющих и строим совместно с техотделом реальную защиту реальными инструментами, а не сертифицированной, прости господи, виндой (зы работаю с госами в основном)...
Но мой взгляд реальных докуметов из существующих 30+ только 6:
0) Положение о ПДн в каком-либо виде
1) Модель угроз — реальная, а не этот бред 2008-20015 года, ну или их надо серьезно дополнять
2) Инструкция пользователям, подробная включая меры по работе с антивирусом (типа проверять флешки, не запускать почтовые вложения)
3) Инструкция по резервному копирования и восстановлению для админов, там же раздел про личные файлы пользователей
4) технологический процесс. Подробный что как куда, с указанием портов и расположения оборудования. (технический паспорт в том виде в котором он сейчас представлен нафиг не нужен) В качестве хорошего дополнения существующей схеме СКС и коммутационному журналу.
5) Документ — матрица доступа
Опционально можно еще добавить документ по Wi-Fi — гостевой рабочий, но можно это включить в 5 пункт.
Все! остальное большой фуфел и просто марание бумаги и потеря времени, не имеющего ничего общего с реальностью…
Для ГИСов, конечно, надо дословно и полно....
Ну и вопрос напоследок (который я примерно в таком варианте как-то встретил на просторах сети), если ИБ смог доказать факт умышленной кражи и наказать в суде такого «менеджера» является ли отдел ИБ эффективным?
(правильный ответ нет, т.к. инфа уже уплыла...)
Только лояльность, ну или драконовкие меры и регистрацией каждого чиха, но и они не помогут…