Второй день занимаюсь на курсах повышения квалификации по защите персональных данных.
Программа курса, как говорят, преподаватели, согласована со ФСТЭКом, однако, по этой программе у меня есть определенные вопросы.
Точнее, не по самой программе, а по тому что нам дают. Всего этот курс читают четверо преподавателей - трое из них часть своего материала уже отчитали, четвертый появится завтра. Что любопытно - у всех троих свой взгляд на этот закон. Один из них говорит, что СТР-К и другие документы, посвященные конфиденциальным данным, может быть удобно использовать при создании документации к ИСПДн (СЗПДн), но обязательный характер эти документы не носят. Такая позиция мне понятна и очень даже нравится - в этом случае мы не обязаны составлять технические паспорта на компьютеры и проводить аттестацию системы.
Другой говорит, что ВСЕ операторы ОБЯЗАНЫ использовать СТР-К и, соответственно, проводить аттестацию системы, составлять технические паспорта и прочее. Но, опять же, он не говорит о том как проводить параллели между классом ИСПДн и классом АС, но признает, что это разные вещи, т.е. остается неопределенность - какие требования СТР-К мы должны выполнять для ИСПД класса К2, например.
Третья точка зрения - ВСЕ документы ВСЕХ регуляторов в части конфиденциальных данных обязательны для применения. Т.е. в первую очередь мы защищаем конфи, а только потом персональные данные.
Вот как, блин, как они все это согласовали со ФСТЭКом? Или ФСТЭК считает, что любой из этих подходов имеет право на жизнь и оператор сам должен выбирать? В таком случае, мне кажется, должна быть оговорка, что оператор волен выбирать любой из понравившихся вариантов.
Впрочем, до конца курсов еще далеко и, возможно, что-то прояснится.
На данный момент, самое главное, что я вынес с курсов (и в чем сходятся все преподаватели) - это то, что для работ по установке, настройке и вводу в эксплуатацию средств защиты информации, организация должна иметь лицензию по ТЗКИ от ФСТЭК. Если такой лицензии нет - мы обязаны приглашать лицензиата (это, кстати, хорошо объясняет почему четверть стоимости по коммерческому предложению одного из лицензиатов - это именно работы по настройке СЗИ). Тут есть один нюанс, все они говорят, что готовится к принятию новый закон о лицензируемых видах деятельности, в результате принятия которого, лицензия на ТЗКИ будет "разбита" на несколько более мелких лицензий, что может облегчить и удешевить для оператора процесс получения такой лицензии.
Еще один важный момент - использование ТОЛЬКО сертифицированных СЗИ. Фактически, слов "сертифицированные СЗИ" в законе и подзаконных актах нет, но пункт 5 положения об обеспечении безопасности персональных данных при их обработке в ИСПДн, говорит о том, что СЗИ, применяемые в ИС, в установленном порядке проходят процедуру оценки соответствия.
Фактически, под процедурой оценки соответствия подразумевается та самая сертификация, и, если у СЗИ, применяемого у нас, нет сертификата, мы можем не заменять его, а договориться с одним из аттестационных центров (список которых есть на сайте ФСТЭК) о проведении процедуры оценки соответствия для этого СЗИ. Что будет стоить, вероятно, бешенных денег, но в итоге у нас будет сертифицированное СЗИ. Ход, по сути, достаточно глупый (на мой взгляд) и дорогостоящий, т.е. лучше сразу проектировать СЗПДн с теми СЗИ, которые уже имеют сертификат соответствия требованиям ФСТЭК.
Плюс, было много ссылок на 149 ФЗ, с которым я, увы, пока не успел познакомиться - возможно, после ознакомления что-то для меня прояснится.
Программа курса, как говорят, преподаватели, согласована со ФСТЭКом, однако, по этой программе у меня есть определенные вопросы.
Точнее, не по самой программе, а по тому что нам дают. Всего этот курс читают четверо преподавателей - трое из них часть своего материала уже отчитали, четвертый появится завтра. Что любопытно - у всех троих свой взгляд на этот закон. Один из них говорит, что СТР-К и другие документы, посвященные конфиденциальным данным, может быть удобно использовать при создании документации к ИСПДн (СЗПДн), но обязательный характер эти документы не носят. Такая позиция мне понятна и очень даже нравится - в этом случае мы не обязаны составлять технические паспорта на компьютеры и проводить аттестацию системы.
Другой говорит, что ВСЕ операторы ОБЯЗАНЫ использовать СТР-К и, соответственно, проводить аттестацию системы, составлять технические паспорта и прочее. Но, опять же, он не говорит о том как проводить параллели между классом ИСПДн и классом АС, но признает, что это разные вещи, т.е. остается неопределенность - какие требования СТР-К мы должны выполнять для ИСПД класса К2, например.
Третья точка зрения - ВСЕ документы ВСЕХ регуляторов в части конфиденциальных данных обязательны для применения. Т.е. в первую очередь мы защищаем конфи, а только потом персональные данные.
Вот как, блин, как они все это согласовали со ФСТЭКом? Или ФСТЭК считает, что любой из этих подходов имеет право на жизнь и оператор сам должен выбирать? В таком случае, мне кажется, должна быть оговорка, что оператор волен выбирать любой из понравившихся вариантов.
Впрочем, до конца курсов еще далеко и, возможно, что-то прояснится.
На данный момент, самое главное, что я вынес с курсов (и в чем сходятся все преподаватели) - это то, что для работ по установке, настройке и вводу в эксплуатацию средств защиты информации, организация должна иметь лицензию по ТЗКИ от ФСТЭК. Если такой лицензии нет - мы обязаны приглашать лицензиата (это, кстати, хорошо объясняет почему четверть стоимости по коммерческому предложению одного из лицензиатов - это именно работы по настройке СЗИ). Тут есть один нюанс, все они говорят, что готовится к принятию новый закон о лицензируемых видах деятельности, в результате принятия которого, лицензия на ТЗКИ будет "разбита" на несколько более мелких лицензий, что может облегчить и удешевить для оператора процесс получения такой лицензии.
Еще один важный момент - использование ТОЛЬКО сертифицированных СЗИ. Фактически, слов "сертифицированные СЗИ" в законе и подзаконных актах нет, но пункт 5 положения об обеспечении безопасности персональных данных при их обработке в ИСПДн, говорит о том, что СЗИ, применяемые в ИС, в установленном порядке проходят процедуру оценки соответствия.
Фактически, под процедурой оценки соответствия подразумевается та самая сертификация, и, если у СЗИ, применяемого у нас, нет сертификата, мы можем не заменять его, а договориться с одним из аттестационных центров (список которых есть на сайте ФСТЭК) о проведении процедуры оценки соответствия для этого СЗИ. Что будет стоить, вероятно, бешенных денег, но в итоге у нас будет сертифицированное СЗИ. Ход, по сути, достаточно глупый (на мой взгляд) и дорогостоящий, т.е. лучше сразу проектировать СЗПДн с теми СЗИ, которые уже имеют сертификат соответствия требованиям ФСТЭК.
Плюс, было много ссылок на 149 ФЗ, с которым я, увы, пока не успел познакомиться - возможно, после ознакомления что-то для меня прояснится.
Комментариев нет:
Отправить комментарий