Главная » Блоги Экспертов И ИТ-Компаний » СОИБ. Анализ. Предложения по совершенствованию Требований ФСТЭК России

СОИБ. Анализ. Предложения по совершенствованию Требований ФСТЭК России

 

По материалам блога http://sborisov.blogspot.com/

 

В соответствии с информационным сообщением ФСТЭК России “о проекте Требований о защите информа-ции, не составляющей государственную тайну, содержащейся в государственных информационных системах” от 12 октября 2012 г. № 240/22/4140 провел экспертизу проекта приказа ФСТЭК России “Об утверждении Требований о защите ин-формации, не составляющей государственную тайну, содержащейся в государственных информационных системах”.

 

Из основного могу отметить:

В документ отсутствует раздел с терминами и определениями. Есть ссылки на ряд внешних документов, но каким именно документом руководствоваться для конкретных определений – непонятно. Учитывая несогласованность разных уже существующих документов – это может стать проблемой.

Для примера: есть требования о сертификации всех средств защиты информации, но нет определения средства защиты информации. В своем блоге я уже поднимал эту тему и приводил к каким сложностям приводит неоднозначность  в этом определении.

Так-же в документе есть несогласованность с законодательством в области защиты ПДн.  Так например применительно к ИСПДн используется класс (К) ИСПДн и уровень защищенности (УЗ).  В рассматриваемых Требованиях вводится класс защищенности (К) и уровень значимости (УЗ). Это приведет к большой путанице при пересечении ИСПДн и ГИС.

 

 

В остальном документ приличный.  Если будет гибкая методика определения контрмер в зависимости от актуальности угроз то документ можно будет использовать для построения эффективных систем обеспечения информационной безопасности.

 

Существенным новшеством является требование аттестовать  только часть типовых сегментов ГИС, если обеспечивается их соответствие друг другу.

 

Получившиеся в итоге замечания и предложения отправлены в ФСТЭК России в соответствии с информационным сообщением.

 

Просьба при использовании материалов делать ссылку на источник и/или указывать соавторство.


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>