Огромное спасибо Алексею Лукацкому за Сравнение ПП № 1119 и ПП № 781.
Но что меняет новый нормативный акт? По сути ничего. Да, придется менять классификацию ИСПДн. Но имеющаяся классификация ничего кроме ругани не вызывала и многие операторы ПДн все равно классифицировали свои системы как специальные без дальнейшей детализации по 4-м классам. Списки лиц и так все оформляли. Сертифицированные решения кто не использовал, тот и не будет их использовать. Моделирование угроз проводить надо по закону уже почти полтора года. Электронный журнал как был непонятной субстанцией, так и остался. Однако это не мешает находить в Интернет регламенты по ведению такого журнала, что помогает проходить проверки.
Но главное не изменилось.Ни ФСТЭК, ни ФСБ так и не получили права проводить проверки негосударственных организаций. Модель угроз как делал оператор, так и будет делать он же. Ждать, что органы исполнительной власти вот прямо сейчас разродятся своими отраслевыми моделями угроз не приходится (разве что кроме Банка России). А без них оператор либо может забить болт на моделирование, либо сделать это самостоятельно. И тут он волен делать все, что считает нужным.
Детальные требования по ИБ как разрабатывлись ФСТЭК и ФСБ, так и будут ими разрабатываться. Что же касается их конкретного содержания, то неужели кто-то рассчитывает увидеть там что-то еще невиданное. По линии ФСБ ничего нового не будет. Применение сертифицированных СКЗИ, выполнение 152-го приказа ФАПСИ - вот и все вокруг чего будет крутиться новый приказ. Хуже быть не может. Лучше? Вполне. Так это плюс, что может быть лучше. Новый документ ФСТЭК либо будет похож на 58-й приказ (а что в нем такого неизведанного и непонятного), либо на проект "нового СТР-К". Так он тоже известен и в работе над ним как раз приглашали поучаствовать всех желающих - но многие и тут остались верны себе - покритиковали в Facebook, а что-то предлагать отказались.
Ссылка на материал
Но что меняет новый нормативный акт? По сути ничего. Да, придется менять классификацию ИСПДн. Но имеющаяся классификация ничего кроме ругани не вызывала и многие операторы ПДн все равно классифицировали свои системы как специальные без дальнейшей детализации по 4-м классам. Списки лиц и так все оформляли. Сертифицированные решения кто не использовал, тот и не будет их использовать. Моделирование угроз проводить надо по закону уже почти полтора года. Электронный журнал как был непонятной субстанцией, так и остался. Однако это не мешает находить в Интернет регламенты по ведению такого журнала, что помогает проходить проверки.
Но главное не изменилось.Ни ФСТЭК, ни ФСБ так и не получили права проводить проверки негосударственных организаций. Модель угроз как делал оператор, так и будет делать он же. Ждать, что органы исполнительной власти вот прямо сейчас разродятся своими отраслевыми моделями угроз не приходится (разве что кроме Банка России). А без них оператор либо может забить болт на моделирование, либо сделать это самостоятельно. И тут он волен делать все, что считает нужным.
Детальные требования по ИБ как разрабатывлись ФСТЭК и ФСБ, так и будут ими разрабатываться. Что же касается их конкретного содержания, то неужели кто-то рассчитывает увидеть там что-то еще невиданное. По линии ФСБ ничего нового не будет. Применение сертифицированных СКЗИ, выполнение 152-го приказа ФАПСИ - вот и все вокруг чего будет крутиться новый приказ. Хуже быть не может. Лучше? Вполне. Так это плюс, что может быть лучше. Новый документ ФСТЭК либо будет похож на 58-й приказ (а что в нем такого неизведанного и непонятного), либо на проект "нового СТР-К". Так он тоже известен и в работе над ним как раз приглашали поучаствовать всех желающих - но многие и тут остались верны себе - покритиковали в Facebook, а что-то предлагать отказались.
Ссылка на материал
Комментариев нет:
Отправить комментарий