Сейчас ходит много противоречивой информации об измениях в законодательстве, связанных с федеральным законом №152-ФЗ и постановлением правительства №1119. Многие эксперты считают это постановление ужасным, другие не видят в нем ничего плохого.
Уже не раз делались разнообразные таблицы сравнения, похожие друг на друга всем, кроме оформления. Такие компании, как «Код безопасности» и «СофтЛайн» (и многие другие) устраивали вебинары на тему «Что делать и кто виноват?»
Я не буду в очередной раз «мусолить» эту тему. Давайте просто посмотрим, что же все-таки делать в сложившейся ситуации.
А делать надо одно — защищаться. Кто-нибудь, конечно, оспорит это утверждение, сказав: «Да что нам будет? Мы же частная компания!». Оставим этих людей в покое. Пост для тех, кто хочет и будет защищать персональные данные.
Главным изменением в пп №1119 стало введение непонятных «Уровней защищенности» вместо таких родных «Классов ИСПДн». Также стоит отметить, что это постановление правительства отменило пп №781, на котором основывались 58 приказ и «приказ трех». А это значит, что рекомендации к выбору средств защиты, которые были изложены в этих приказах, теперь недействительны. Но это не значит, что работы по защите персональных данных стоит прекратить.
Тем, кто начал проводить данные работы до выхода пп №1119 нечего опасаться. Можно заканчивать внедрение средств защиты согласно разработанным документам. Возможно, в будущем, необходимо будет переработать модель нарушителя и частную модель угроз, а также разработать акт определения требуемого уровня защищённости. Но внедренные средства защиты останутся актуальными, согласно информационному письму ФСТЭК № 240/24/4669 от 20 ноября 2012 г.
Тем же, кто только собирается защищать персональные данные можно дать следующий совет — проводите препроектное обследование и начинайте писать документацию.
Пока вы будете этим заниматься — выйдут новые руководящие документы регуляторов (ФСТЭК, ФСБ, РосКомНадзор). ФСТЭК пообещал выложить проекты новых документов на своем сайте 7 декабря 2012 года, поэтому, скорее всего, в новый год мы войдем уже с новыми рекомендациями по выбору средств защиты. А среднее время проведения обследования и написания документации составляем 1-2 месяца, поэтому опасаться нечего — к моменту подготовки проектной документации по внедрению СЗПДн все руководящие документы уже будут готовы.
К тому же, внедрение средств защиты персональных данных — это лицензируемый вид деятельности, и если вы не имеете данных лицензий, вам все равно придется обращаться в компанию-интегратор, которая и будет проводить работы. Также им можно отдать и предпроектное обследование, так как крупные интеграторы разработали схемы обследования согласно новому постановлению уже на первой неделе ноября.
Уже не раз делались разнообразные таблицы сравнения, похожие друг на друга всем, кроме оформления. Такие компании, как «Код безопасности» и «СофтЛайн» (и многие другие) устраивали вебинары на тему «Что делать и кто виноват?»
Я не буду в очередной раз «мусолить» эту тему. Давайте просто посмотрим, что же все-таки делать в сложившейся ситуации.
А делать надо одно — защищаться. Кто-нибудь, конечно, оспорит это утверждение, сказав: «Да что нам будет? Мы же частная компания!». Оставим этих людей в покое. Пост для тех, кто хочет и будет защищать персональные данные.
Главным изменением в пп №1119 стало введение непонятных «Уровней защищенности» вместо таких родных «Классов ИСПДн». Также стоит отметить, что это постановление правительства отменило пп №781, на котором основывались 58 приказ и «приказ трех». А это значит, что рекомендации к выбору средств защиты, которые были изложены в этих приказах, теперь недействительны. Но это не значит, что работы по защите персональных данных стоит прекратить.
Тем, кто начал проводить данные работы до выхода пп №1119 нечего опасаться. Можно заканчивать внедрение средств защиты согласно разработанным документам. Возможно, в будущем, необходимо будет переработать модель нарушителя и частную модель угроз, а также разработать акт определения требуемого уровня защищённости. Но внедренные средства защиты останутся актуальными, согласно информационному письму ФСТЭК № 240/24/4669 от 20 ноября 2012 г.
Тем же, кто только собирается защищать персональные данные можно дать следующий совет — проводите препроектное обследование и начинайте писать документацию.
Пока вы будете этим заниматься — выйдут новые руководящие документы регуляторов (ФСТЭК, ФСБ, РосКомНадзор). ФСТЭК пообещал выложить проекты новых документов на своем сайте 7 декабря 2012 года, поэтому, скорее всего, в новый год мы войдем уже с новыми рекомендациями по выбору средств защиты. А среднее время проведения обследования и написания документации составляем 1-2 месяца, поэтому опасаться нечего — к моменту подготовки проектной документации по внедрению СЗПДн все руководящие документы уже будут готовы.
К тому же, внедрение средств защиты персональных данных — это лицензируемый вид деятельности, и если вы не имеете данных лицензий, вам все равно придется обращаться в компанию-интегратор, которая и будет проводить работы. Также им можно отдать и предпроектное обследование, так как крупные интеграторы разработали схемы обследования согласно новому постановлению уже на первой неделе ноября.