Чтобы добавлять сообщения и комментарии, .

@Ta2i4:
Ta2i4

Тут есть безопасники? С меня требуют пару логин/пароль от дневника.ру, ссылаясь на какой-то приказ. Это правомерно?

@pLuto:
pLuto

Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных.
2.bp.blogspot.com

@pLuto:
pLuto

Анализ новых проектов постановлений правительства по ПДн от Алексея Лукацкого. Думаю, заинтересованным лицам будет интересно. lukatsky.blogspot.com

@pLuto:
pLuto

В связьнадзоре совсем с дуба рухнули rsoc.ru

@pLuto:
pLuto

Ура! Цитирую Лукацкого (http://lukatsky.blogspot.com/2012/06/blog-post_21.html):

Вчера в 16.30 ФСТЭК опубликовала на своем сайте информационное сообщение fstec.ru датированное 30-м мая и номером №240/22/2222, по вопросу необходимости получения лицензии ФСТЭК России на деятельность по ТЗКИ.
[...]
Если организация не извлекает прибыль из деятельности по ТЗКИ, если эта деятельность не прописана в учредительных документах (например, в Уставе), либо если эта деятельности не осуществляется по поручению обладателя информации или заказчика информационной системы в соответствие с трехглавым ФЗ-149, то лицензия ФСТЭК на ТЗКИ организации не нужна. Иными словами, абсолютному большинству организаций, теперь не требуется искать основания и заниматься юридическим крючкотворством, чтобы обосновать отсутствие лицензии ФСТЭК на ТЗКИ.

@pLuto:
pLuto

Интересный набор новостей.
1) Планируется ввести новое понятие "Уровень защищенности ИСПДн", четыре уровня.
2) Также новое понятие "Модель нарушителя", три категории. В зависимости от модели нарушителя будет выбираться тот или иной уровень защищенности (т.е., например, данные, попадающие под 1 категорию, можно будет защищать по-разному, в зависимости от модели нарушителя).
3) ФСТЭК разрабатывает множество РД и для всех классов устройств, для которых РД уже есть, сертификация будет не на соответствие ТУ, а на выполнение требований РД.
4) Планируется в частности выход в свет РД по ЗИ для госорганов, который (аллилуйя) заменит СТР-К.
5) Наконец-то формализовали — нужна или нет лицензия ФСТЭК на техзащиту конфиденциальной информации для собственных нужд, компания решает самостоятельно.
6) Аттестация ИСПДн обязательна для госструктур и на усмотрение компании для коммерческих.

@pLuto:
pLuto

Алексей Лукацкий в своем блоге сделал выжимку (http://lukatsky.blogspot.com/2011/05/blog-post.html) из нового закона "О лицензировании отдельных видов деятельности".
Что приятно (выжимка из выжимки):
1) Теперь не надо получать лицензию на деятельность, которую компания обязана выполнять по законодательству. Т.е. — ура-ура — для эксплуатации собственной сети туннелей, которые шифруются для выполнения требований защиты ПДн, уже не нужна лицензия на техническое обслуживание средств шифрования.
2) И из другого изменения то же самое следует — не требуется лицензия на техническое обслуживание, если оно осуществляется "для обеспечения собственных нужд". Что такое "собственные нужды", правда, не расшифровали, но если оказания услуг не будет — уже можно не опасаться преследования за отсутствие лицензии.
3) И все выданные лицензии становятся бессрочными (прямо удивительно, как такую золотую жилу отпускают).

@pLuto:
pLuto

Российская ИБ — бессмысленная и беспощадная. akado-telecom.ru
Примечание добавляет финальный аккорд, прям как вишенка в коктейле глупости :)

@pLuto:
pLuto

Подумалось, что 152ФЗ был придуман потому, что в ИТ-структурах у власти закончилось бабло, попиленное на "проблеме 2000" :)

@pLuto:
pLuto

graph.document.kremlin.ru Закон о переносе сроков приведения в соответствие информационных систем, обрабатывающих персональные данные, подписан. Правда, срок перенесли не на год, а на полгода — до 1 июля 2011 года.

@pLuto:
pLuto

asozd2.duma.gov.ru
Коротко — предлагают сроки "приведения в соответствие" отодвинуть еще на год.
Думаю, что должны принять. Девяносто процентов информационных систем в стране к требованиям законодательства не приведены.

@Exsperot:
Exsperot

Внимательно изучая и сопоставляя нормы различных нормативно-правовых актов (НПА), мы зачастую сталкиваемся с казусами их противоречия между собой. В области персональных данных на текущий момент времени не устранены, на наш взгляд, следующие противоречия и спорные ситуации:

@pLuto:
pLuto

"Основные мероприятия" и "Рекомендации" пошли по бороде. Ожидаемо. fstec.ru

@pLuto:
pLuto

ФСТЭК выпустил в свет проект нового документа "Положение о методах и способах защиты информации в информационных системах персональных данных". fstec.ru — ссылка на сам документ. malotavr.blogspot.com — неплохой комментарий. Рекомендуется к изучению.
Осталось меньше 11 месяцев до очередного часа Икс.

@pLuto:
pLuto

А все обратили внимание, что апокалипсис откладывается на год? Депутаты в третьем чтении приняли закон "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" (в части исключения требования об использовании криптографических средств защиты персональных данных и продления срока, в течение которого ранее созданные информационные системы персональных данных подлежат приведению в соответствие с Федеральным законом "О персональных данных")".
Так что можно еще год пропинать балду (тем более, что сейчас затачивать сети бессмысленно, потому что требования ФСТЭК будут за этот год переработаны).