понедельник, 1 февраля 2010 г.

Так держать или не играйте в азартные игры с профессионалами

Чертовски приятно убеждаться в своей правоте!

Все мы помним, как почти два года назад были выпущены 4 методических документа ФСТЭК, посвященных защите персональных данных. Какие споры разврнулись на форумах! Сколько копий было сломано! Тогда автор этих строк вместе с Алексеем Лукацким и несколькими здравомыслящими коллегами по цеху, находясь в подавляющем меньшинстве, утверждали, что "четырехкнижие" - фикция, не подлежащая исполнению.

И вот сегодня опубликован проект приказа "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных", ожидающий подписи Григорова. Что нас ждет в случае утверждения этого документа?

В соответствии со статьей 19 ФЗ 152 требования по обеспечению безопасности персональных данных устанавливает Правительство.

"2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных."

Правительство, утвердив 781-е постановление, поручило ФСТЭК и ФСБ разработать нормативные и методические документы, необходимые для выполнения этого постановления.

"2. Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением."

В частности, им поручалось разработать методы и способы защиты информации в информационных системах персональных данных.

3. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

И вот появился проект документа, который должен устанавить эти самые методы и способы. Я не читал его внимательно, но даже при беглом взгляде видно, что из документа исчезло большинство нелепиц, характерных для "Основных мероприятий...":
1. Нет непрпавомерной нормы, обязывающей отдельных операторов ИСПД получать лицензию на ТЗКИ
2. Исчезли безумные перекрестные ссылки между группами требований
3. Исчез невиданный зверь "защита от программно-математических воздействий"

В документе есть отсылки к "Базовой модели угроз" и "Методике определения актуальности угроз", а вот не к ночи помянутые "Основные мероприятия..." в формиовании требований не участвуют ни прямо, ни косвенно. Требования переместились в приложение, сократились в объеме, приобрели законченный вид и, по-крайней мере на первый взгляд, взаимосвязь с требованиями к АС и МЭ из соответствующих руководящих документов. Учитывая, что опубликован проект документа, что по сути является приглашением к публичному его обсуждению, можно ожидать, что существенные недостатки будут выявлены заинтересованными лицами, и в финальную редакцию не попадут. Что же мешало сделать то же самое два года назад?

Будь я "юношей бледным со взором горящим", написал бы, что мы наблюдаем победу общественности над самодурством государственных органов. Выход бредовых требований ("Жестких!" - поправил меня как-то один уважаемый гражданин. Да нет, Михаил Юрьевич, именно бредовых, как бы упорно вы ни отстаивали необходимость их исполнения), робкие возражения отдельных специалистов, начавшаяся под крылом Минсвязи и ЦБ разработка альтернативных требований, перенос сроков и публикация нынешнего проекта на первый взгляд говорит о постепенном оставлении позиций государственным регулятором.

Но я давно уже не юноша, и в надзорных органах работают пусть и своеобразные, но разумные люди. И то, что мы наблюдали последние два года, скорее похоже на раунд увлекательной забавы, правила которой начали зарождаться при дворе Ивана III и окончательно оформились подле царского трона его грозного внука - замечательной придворной игры "прикрой $%пу".

Немного истории. ФЗ 152 вступил в силу в августе 2006 г. Насколько я помню, на это время приходится бедлам, связанный с расхлебыванием итогов второго этапа административной реформы, параллельно ведомства разгребают обломки перекуроченной ФЗ "О техническом регулировании" системы формирования технических требований, а ФСБ, ФСТЭК и МО усиленно торпедируют разработку технических регламентов в области безопасности,- короче, люди работают, и им не до каких-то там ПД. А часики тикают, и за провал реализации еще одного закона кому-то предется ответить.

Через год вялотекущего брыкания правительство начинает решительные действия: сперва издает распоряжение о разработке отсутствующих требований, а потом подключает тяжелую артиллерию, принимая известное постановление №781, которым, в частности, в ультимативном порядке обязывает ФСБ и ФСТЭК эти требования разработать. Честно говоря, и дату принятия постановления (конец ноября), и срок, отведенный на разработку (три месяца) иначе, как изошренным издевательством назвать нельзя. Понятно, что и за три месяца ничего путного разработать не получится, а тут из этого срока выдрана средняя треть. Если кто успел забыть, с середины декабря по середину января страна фактически уходит на каникулы :) Итог предсказуем - сроки будут сорваны, а виновники - вот они, ведомства, не подотчетные правительству, а подчиняющиеся непосредственно президенту. Изволь царь-батюшка, сам со своими опричниками разбираться.

Но не на таковских напали, и за две недели до конца отведенного срока зам. директора ФСТЭК утверждает знаменитые ДСПшные документы, которые чуть ли через неделю начали активно обсуждать на форумах. Что характерно: на формальную gакость был дан не менее пакостный ответ. Поручили разработать и утвержить? Извольте, разработали и утвердили. А вводить их в действие нам никто не поручал, так что выкручивайтесь сами - и отвечайте сами. И вот сделано все чтобы разработанные документы было невозможно ввести в действие. Нарушены все мыслимые требования: подпись неуполномоченного лица, наличие формальных противоречий законодательству, отсутствие вводящего в действие нормативного акта, гриф ДСП и распространение нормативного по своему смыслк документа путем продажи оного неким институтом, не являющимся частью системы государственной власти. Ничего не забыл? Заметьте, распоряжение правительства формально выполнено, и крайним опять остается правительство.

А часики продлолжают тикать, и возникает вполне реальная опасность с 1 января 2010 схлопотать массовую волну исков в отношении преступного бездействия должностных лиц органов государственной власти. А что еще остается делать крупным операторам? И стремительно возрастающая активность операторов делает такой сценарий вполне правдоподобным. И вот закономерный финал: сперва при поддержке правительства переносятся сроки предъявления требований по безопасности, а после появляется вменяемый проект этих самых требований. А скандальные "Основные мероприятия...", если эти требования будут утверждены, тихо издохнут. RIP.

Все это - хорошо проведенная игра, в которой поучаствовали профессионалы с громадным опытом подковерной борьбы. Но, как водится в таких случаях, нашлись и дилетанты, решившие поучаствовать в этой игре. Одна група таких игроков решила пробежаться впереди паровоза, и срочно реализовать требования этого самого "четырехкнижия" с непонятным правовым статусом, стоило только ему приобрести известность. Вторая группа игроков решила не менее срочно удовлетворить возникший спрос. И вот первые выбивают у себя бюджеты "на приведение в соответствие", а вторые начинаюь подогревать начинающуюся истерию, с каждой подходящей трибуны крича о необходимости срочно-срочно дать им денег на написание грамотных отмазок. А какие фантастические аргументы использовались для того, чтобы хоть как-то увязать предъявляемые требования со здравым смыслом! Какое "красноречие"! Жириновский нервно курит в сторонке.

В общем, результат предсказуем - дилетанты проиграли. Первые потратили деньги на выполнение оказавшихся избыточными требований, вторые потеряли изрядную долю репутации в глазах коллег по цеху. Впрочем, потери небольшие: и деньги, и репутация - дело наживное.

В то же время, у сложившейся ситуации окзался вполне положительный итог. Как выяснилось, в трудную минуту добросовестные заинтересованные лица вполне способны самоорганизоваться и скооперироваться, сообща решая возникшую перед ними проблему. Более того, и органы государственной власти в той или иной степени проявили способность прислушиваться к мнению профессионального сообщества и учитывать это мнение там, где собственной компетенции, что греха таить, не хватает. И хочется надеяться, что практика публичного обсуждения обязательных к исполнению требований - причем до, а не после их принятия - со временем станет нормой.

19 коммент.:

Анонимный 1 февраля 2010 г., 12:49  

А как бы почитать этот проект?

SD 1 февраля 2010 г., 13:04  

Я думаю, это слишком романтично - "хорошо проведенная игра, в которой поучаствовали профессионалы с громадным опытом подковерной борьбы".

Скорее всего, все гораздо проще - сначала сделали, как могли, а потом было время подумать. :-)

malotavr 2 февраля 2010 г., 0:17  

SD,
естественно. Считайте это литературной гиперболой :)

Была обычная бюрократическая канитель: чтобы формально выполнить распоряжение, пакет документов был утвержден в таком виде, в каком его удалось подготовить, а дальше стали думать, как из всего этого выкрутиться.

malotavr 2 февраля 2010 г., 0:19  

Анонимному:
http://www.fstec.ru/_licen/prik_proekt.doc

Анонимный 2 февраля 2010 г., 6:19  

Какое красноречие!! Браво.

Да откуда у нас мастера подковерной борьбы?

Оглянитись вокруг!

Все очень просто - импотенция у регуляторов, у госрегуляторов (какое государство, такое..):
нет людей, нет умных людей, нет времени, нет возможности. Лада Приора.

Посмотрите, даже этот документ не вычитали (путаницы с классами)! Нет гармонизации с ТЗКИ, ГТ, наконец, стандартами, с международными практиками. Отписка.

Кому выгодно?
- cisco и microsoft.
Еще кому:
- кто не защищал и защищать не будет.

Кому не выгодно: отечественным интеграторам.

А где народ? Он живет своей жизнью.

malotavr 2 февраля 2010 г., 7:10  

Прохожий, я так понимаю? :)

Мое отношение к деятельности регуляторов вы, наверное знаете: "Господи, избавь меня от доброжелателей, а с врагами я уж как-нибудь сам разберусь".

Вы смотрите на деятельность гос. органов и ожидаете от нее общественной пользы. А общественная польза вовсе не является целью этой деятельности - или, по крайней мере, не является главной ее целью. Спасибо уже за то, что хоть что-то отдаленно полезное делается.

Как я уже когда-то писал, по моему глубокому убеждению, государство есть инструмент достижения личных целей для сравнительно небольшого слоя населения, своими действиями непосредствено формирующего внешнюю и внутреннюю политику этого самого государства. Одно из обязательных качеств представителей этого слоя - умение из него не выпасть, попав под раздачу. Любое государственное ведомство, начиная со среднего руководящего состава и выше, это террариум с жестоким естественным отбором.

И наблюдать за этой деятельностью как за борьбой пауков в банке интересно :)

З.Ы. А ваш постоянный тезис "выгодно тому, кто не защищал и защищать не будет" мне глубоко неприятен. Я отрицательно отношусь к попыткам гос. ведомств поуказывать, как мне делать мою работу, но пока еще никто не смог сказать, что эта работа сделана плохо.

SD 2 февраля 2010 г., 7:56  

Меня всегда глубоко удивляло, что общественная польза вовсе не является целью деятельности госорганов...

Интересно, почему ... Недостаток профессионализма? Общий уровень культуры? Наверное, корень где-то в октябре 1917г... "Разруха у нас в головах"...

Пост с удовольствием прочел. :-)

Michael de`Oz 3 февраля 2010 г., 0:24  

В общем я понял что закончилась история хорошо. Или может быть это ещё не конец?
Но вот есть ещё такой момент: что бы не выпасть из этого правящего класса надо не только уметь прикрыть одно место, но и постоянно доказывать свою полезность. А так как на самом деле большинство чиновников совершенно бесполезны им что бы доказать свою полезность надо уметь не только решать проблемы, сколько, что в данной ситуации важнее, их придумывать.

manaraq 3 февраля 2010 г., 0:51  

malotavr, мне кажется, что дилетанты второго рода как раз и не проиграли. Они, во-первых, заработали много денег на чужом горе, а, во вторых, укрепили свою репутацию жестких, а значит уважаемых, игроков рынка ИБ. С точки зрения морали и то и другое плохо. Но это мало кого волнует.
P.S. Спасибо за интересный пост.

Анонимный 3 февраля 2010 г., 11:21  

Какая хорошая фраза

c414m1ty 4 февраля 2010 г., 23:33  

Проект положения сырой, все содрано с предыдуших документов, включая ошибки, и у меня большие сомнения, что кто-то их будет исправлять. Вот те ошибки/опечатки которые видны на первый взгляд:
1. Положение - п. 2.3. - "В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты". Непонятно его назначение, из него следует, что при определенных условиях использование антивирусного программного обеспечения не требуется, НО систем не использующих внешние носители нет (его использование начинается с установки ОС) и антивирус это базовый компонент защиты в системах семейства Windows, а таковых подавляющее большинство. На наш взгляд этот пункт просто нужно убрать, он лишь рождает дополнительные вопросы.
2. Приложение к Положению - п. 2.2. - "Для информационных систем 3 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации". Почему нет слов о том, что требования для 3 класса при однопользовательском режиме наследуются? Вообще, требования к классам лучше всего оформлять в виде таблице - это позволяет избежать множества ошибок и несоответствий при формировании требований к классам.
3. Приложение к Положению - п. 2.2. - п.п. в) - "целостность программных средств в составе системы защиты персональных данных, а также неизменность программной среды. При этом целостность средств защиты проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации". Фраза "во время обработки и (или) хранения защищаемой информации" здесь есть, а в п. 2.1. п.п. в) ее нет - это та же самая опечатка, что и в РД АС. Необходимо применять одинаковую формулировку.
4. Приложение к Положению - п. 2.2. - п.п. в) - "физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации, особенно в нерабочее время". Фраза "особенно в нерабочее время" здесь есть, а в п. 2.1. п.п. в) ее нет - это та же самая опечатка, что и в РД АС. Необходимо применять одинаковую формулировку.

c414m1ty 4 февраля 2010 г., 23:34  

5. Приложение к Положению - п. 2.2. - п.п. в). В конце данного пункта не хватает 2-х требований, которые присутствуют в п. 2.1. п.п. в) и, очевидно, должны быть и здесь - "проверка целостности модулей средства защиты от несанкционированного доступа, необходимых для корректного функционирования этого средства, при его загрузке с использованием контрольных сумм" и "возможность восстановления средства защиты от несанкционированного доступа, предусматривающая ведение двух копий программного средств защиты, его периодическое обновление и контроль работоспособности".
6. Приложение к Положению - п. 2.3. - "Для информационных систем 3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним разных пользователей применяются следующие основные методы и способы защиты информации". Почему нет слов о том, что требования для 3 класса при многопользовательском режиме и равных правах наследуются? Вообще, требования к классам лучше всего оформлять в виде таблице - это позволяет избежать множества ошибок и несоответствий при формировании требований к классам.
7. Приложение к Положению - п. 2.3. - п.п. а) - "идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов". Нет слов об идентификаторе, хотя должны быть.
8. Приложение к Положению - п. 2.3. - п.п. б) - "учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета" и "учет защищаемых носителей в журнале учета с регистрацией их выдачи (приема)". Эти 2 требования должны быть объединены в 1, они практически об одном и том же. Это ошибка тянется с РД АС.
9. Приложение к Положению - п. 2.3. - п.п. в) - "физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации, особенно в нерабочее время". Фраза "особенно в нерабочее время" здесь есть, а в п. 2.1. п.п. в) ее нет - это та же самая опечатка, что и в РД АС. Необходимо применять одинаковую формулировку.
10. Приложение к Положению - п. 2.3. - п.п. в). В конце данного пункта не хватает 2-х требований, которые присутствуют в п. 2.1. п.п. в) и, очевидно, должны быть и здесь - "проверка целостности модулей средства защиты от несанкционированного доступа, необходимых для корректного функционирования этого средства, при его загрузке с использованием контрольных сумм" и "возможность восстановления средства защиты от несанкционированного доступа, предусматривающая ведение двух копий программного средств защиты, его периодическое обновление и контроль работоспособности".

c414m1ty 4 февраля 2010 г., 23:34  

11. Приложение к Положению - п. 2.4. - "Межсетевые экраны, которые обеспечивают выполнение указанных выше функций, применяются в распределенных информационных системах 2 и 1 классов при их разделении на отдельные части". Из этого пункта следует, что требования к МЭ для распределенных ИСПДн абсолютно одинаковы вне зависимости от класса - это не совсем так на наш взгляд. Опять же нет привязки к классам МЭ по РД МЭ.
12. Приложение к Положению - п. 3.1., 3.2., 3.3. - "Для информационных систем 2 класса при однопользовательском режиме обработки персональных применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при однопользовательском режиме обработки", "Для информационных систем 2 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей", "Для информационных систем 2 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним разных пользователей реализуются все методы и способы защиты информации от несанкционированного доступа, соответствующие информационным системам 3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним разных пользователей". Из них следует, что требования к 3 и 2 классам абсолютно одинаковы (различия только . А если это так, то встает вопрос о целесообразности существования одного из них.
13. Приложение к Положению - п. 4.1. - "Для информационных систем 1 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации". Почему нет слов о наследовании требоний более низких классов? Все заново перечисляется - это непоследовательно. Вообще, требования к классам лучше всего оформлять в виде таблице - это позволяет избежать множества ошибок и несоответствий при формировании требований к классам.
14. Приложение к Положению - п. 4.1. - п.п. в) - "целостность программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды". Почему нет слов о "При этом целостность средств защиты проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ". Для 3 класса однопользовальского режима есть, а здесь нет?
15. Приложение к Положению - п. 4.1. - п.п. в). В конце данного пункта не хватает 2-х требований, которые присутствуют в п. 2.1. п.п. в) и, очевидно, должны быть и здесь - "проверка целостности модулей средства защиты от несанкционированного доступа, необходимых для корректного функционирования этого средства, при его загрузке с использованием контрольных сумм" и "возможность восстановления средства защиты от несанкционированного доступа, предусматривающая ведение двух копий программного средств защиты, его периодическое обновление и контроль работоспособности".
16. Приложение к Положению - п. 4.2. - "Для информационных систем 1 класса при многопользовательском режиме обработки персональных данных и равных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации". Почему нет слов о наследовании требоний более низких классов? Все заново перечисляется - это непоследовательно. Вообще, требования к классам лучше всего оформлять в виде таблице - это позволяет избежать множества ошибок и несоответствий при формировании требований к классам.

c414m1ty 4 февраля 2010 г., 23:35  

17. Приложение к Положению - п. 4.2. - п.п. б) - "учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме)" и "дублирующий учет защищаемых носителей информации". Данные формулировки не совпадают с п. 4.1. п.п. б), хотя, очевидно, должны.
18. Приложение к Положению - п. 4.2. - п.п. б) - "очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационных систем и внешних носителей информации". Отсутствует фраза "Очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов)", а в п. 4.1. п.п. б) она присутствует - противоречие.
19. Приложение к Положению - п. 4.2. - п.п. в) - "целостность программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность системы защиты персональных данных проверяется при загрузке системы по наличию имен (идентификаторов) компонент". Почему нет слов о "целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ". Для 3 класса однопользовальского режима есть, а здесь нет?
20. Приложение к Положению - п. 4.2. - п.п. в). В конце данного пункта не хватает 2-х требований, которые присутствуют в п. 2.1. п.п. в) и, очевидно, должны быть и здесь - "проверка целостности модулей средства защиты от несанкционированного доступа, необходимых для корректного функционирования этого средства, при его загрузке с использованием контрольных сумм" и "возможность восстановления средства защиты от несанкционированного доступа, предусматривающая ведение двух копий программного средств защиты, его периодическое обновление и контроль работоспособности".
21. Приложение к Положению - п. 4.3. - "Для информационных систем 1 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним разных пользователей применяются следующие основные методы и способы защиты информации". Почему нет слов о наследовании требоний более низких классов? Все заново перечисляется - это непоследовательно. Вообще, требования к классам лучше всего оформлять в виде таблице - это позволяет избежать множества ошибок и несоответствий при формировании требований к классам.

c414m1ty 4 февраля 2010 г., 23:35  

22. Приложение к Положению - п. 4.3. - п.п. в). Отсутствует требование о дублирующем учете, а в п. 4.2. п.п. в) и п. 4.1. п.п. в) оно есть - противоречие.
23. Приложение к Положению - п. 4.3. - п.п. б) - "очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти информационной системы и внешних накопителей". Отсутствует фраза "Очистка осуществляется двукратной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов)", а в п. 4.1. п.п. б) она присутствует - противоречие.
24. Приложение к Положению - п. 4.3. - п.п. в). В конце данного пункта не хватает 2-х требований, которые присутствуют в п. 2.1. п.п. в) и, очевидно, должны быть и здесь - "проверка целостности модулей средства защиты от несанкционированного доступа, необходимых для корректного функционирования этого средства, при его загрузке с использованием контрольных сумм" и "возможность восстановления средства защиты от несанкционированного доступа, предусматривающая ведение двух копий программного средств защиты, его периодическое обновление и контроль работоспособности".
25. Приложение к Положению - п. 7. - "Для информационных систем 1 класса применяется программное обеспечение средств защиты информации, соответствующее 4 уровню контроля отсутствия недекларированных возможностей." Почему про уровень СВТ ничего не сказано? Хорошо бы привести соответсвие классов ИСПДн и РД АС, тогда сразу станут понятны требования по уровням и классам НДВ, СВТ и МЭ.

malotavr 5 февраля 2010 г., 0:42  

c414m1ty,
спасибо за подробный разбор.

Если честно, меня такие недостатки этого документа мало интересуют: я его воспринимаю, как "минимальный набор требовний, которые нужно выполнить, чтобы онадзорный орган не приставал". Но, раз вы проделали такую работу, вам не составит труда сделать еще один шаг - направить то же самое простым письмом во ФСТЭК на имя Григорова. Не факт, но не исключено, что эти замечания будут учтены, а вам это сделать не сложно.

Анонимный 9 февраля 2010 г., 0:45  

Коллеги, а поделитесь, плиз, документом, который обсуждаете. А то как-то убрали его с сайта (((
я о "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"
serg13zhebr@mail.ru

ded_Sergei 16 февраля 2010 г., 21:33  

Хотелось бы узнать мнение по поводу обсуждаемого проекта приказа. Отсутствие аттестации объектов информатизации и использование сертифицированных средств ЗИ в проекте — это плюс или минус? По факту оператору ПД придется доказывать регулирующему органу о том, что он требования ФЗ 152 выполнил. А как он это сделает?

Николай Сеничев 19 февраля 2010 г., 5:33  

Поделитесь документом, по-та, ибо с сайта ФСТЭК убрали

  © Blogger template 'Solitude' by Ourblogtemplates.com 2008

Back to TOP