SlideShare ist ein Scribd-Unternehmen logo

Надо ли применять сертифицированные средства защиты ПДн

Aleksey Lukatskiy
Aleksey Lukatskiy
Technologie
1 von 21
Downloaden Sie, um offline zu lesen
Сертифицированные средства защиты для ИСПДн. Надо или в топку? Лукацкий Алексей, консультант по безопасности
О сертификации средств защиты ПДн • Методами и способами защиты информации от несанкционированного доступа являются…использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия • Оценка соответствия регулируется ФЗ-184 «О техническом регулировании» • Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту – ст. 2 ФЗ-184 «О техническом регулировании»
Оценка соответствия • Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме – ст.7 ФЗ-184 «О техническом регулировании» • Самым распространенным мнением является уравнивание оценки соответствия и подтверждения соответствия • Согласно Приказу Председателя Гостехкомиссии России от 27 октября 1995 г. № 199 обязательной сертификации подлежат любые средства защиты информации ограниченного доступа – В первоначальной версии этой приписки не было
Оценка соответствия ≠ сертификация Госконтроль и надзор Аккредитация Испытания Оценка Добровольная Регистрация соответствия сертификация Подтверждение Обязательная соответствия сертификация Приемка и ввод Декларирование в эксплуатацию соответствия В иной форме
Подтверждение соответствия • Документальное удостоверение соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров – ст.2 ФЗ-184 «О техническом регулировании» • Подтверждение – Добровольная сертификация – Обязательная сертификация – Обязательная декларация о соответствии
Подтверждение соответствия • Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента – ст.23.1 ФЗ-184 «О техническом регулировании» • В случае отсутствия тех.регламентов, действуют требования, установленные органами исполнительной власти (ст.5.1 ФЗ-184), а порядок их применения определяется Правительством (ст.5.2 ФЗ-184) – Акты нижестоящих структур могут только конкретизировать детали, а не устанавливать/изменять существо требований
Не ФСТЭК устанавливает особенности оценки соответствия • Особенности оценки соответствия продукции (работ, услуг) и объектов, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации – ст.5 ФЗ-184 «О техническом регулировании» – Не ФСТЭК определяет требования, а Правительство
Об обязательной сертификации СЗИ • Согласно ПП-608 обязательная сертификация средств защиты предусматривается только для защиты гостайны – В остальных случаях сертификация является добровольной • Согласно ПП-1013 средства защиты не входят в перечень товаров, подлежащих обязательной сертификации – 1 декабря 2009 было принято новое ПП-982 «Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии»
Постановление Правительства №982 • С 1-го декабря 2009 года существует единый перечень всех товаров, которые подлежат обязательной сертификации... – Исключая продукцию, требования к которой устанавливаются в соответствии со статьей 5 Федерального Закона «О техническом регулировании» • Иными словами обязательная сертификация средств защиты может быть определена отдельными нормативными актами… – Особенности технического регулирования в части разработки и установления обязательных требований ... устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями (ФЗ- 184 «О техническом регулировании») • ФСТЭК требует обязательной сертификации средств защиты (как и аттестации) негостайны, а Правительство нет – Или все-таки да?!
Гром с ясного неба!!! • ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)» – ДСП
Постановление Правительства 330 • Сфера применения - государственные информационные ресурсы и персданные – Нелогично, но зато не на все виды информации • Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора) – Теперь только сертифицированные средства защиты информации • Принцип подтверждения соответствия – «ограниченный доступ к информации и документам, касающимся установления обязательных требований, сертификационных испытаний продукции и подтверждения ее соответствия, а также методов и способов защиты информации конфиденциального характера»
ФСТЭК и ПП-330?
Надо ли выполнять ПП-330? • На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных • Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию – Ст.4.2 ФЗ-152
Так обязательная или добровольная?
Сертифицированные СЗИ, банки и СТО БР ИББС • В составе АБС должны применяться встроенные защитные меры, а также рекомендуются к использованию сертифицированные или разрешенные руководством организации к применению средства защиты информации от НСД и НРД – Раздел 7.4.2 СТО БР ИББС-1.0 • Выполнение функций обеспечения безопасности персональных данных в ИСПДн должно обеспечиваться средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия, а также комплексом встроенных механизмов защиты ЭВМ, ОС, СУБД, прикладного ПО – Раздел 6.3.2 РС БР ИББС 2.3 • Но каков юридический статус СТО БР ИББС в настоящий момент?
Мнение Сенаторова М.Ю. • Отсутствие в настоящее время технических регламентов, устанавливающих требования к СЗИ, используемым для обеспечения безопасности ПДн при их обработке в ИСПДн, делает невозможным как оценку соответствия, так и добровольное или обязательное подтверждение соответствия СЗИ. • Таким образом, до выпуска документов, обеспечивающих выполнение требований законодательства, считаем возможным применение для обеспечения безопасности ПДн при их обработке в ИС встроенных защитных мер, сертифицированных СЗИ, а также средств защиты, не включённых в Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами - участниками таможенного союза, в рамках ЕвразЭС в торговле с третьими странами – Письмо ЦБР от от 17 ноября 2011 г. № 015-16-9/4713 “О средствах защиты информации, применяемых при обработке персональных данных”
Еще раз об оценке соответствия • Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме – Государственный контроль и надзор – это тоже форма оценки соответствия • Можно дожидаться надзорных мероприятий со стороны ФСТЭК… • А еще оператор ПДн может самостоятельно осуществить приемку и ввод в эксплуатацию системы защиты – В соответствие с требованиями ст.18.1 и 19 152-ФЗ, п.3 ст.7 184- ФЗ, п.5 ПП-781, признать прошедшими испытания и ввести в эксплуатацию следующие технические средства защиты ИСПДн…
Небольшое изменение формулировки закона… • Особенности оценки соответствия продукции (работ, услуг) и объектов, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации – ст.5 ФЗ-184 «О техническом регулировании» – Не ФСТЭК определяет требования, а Правительство • Так было до 30.11.2011
…и куча новых вопросов, остающихся пока без ответов • ФЗ-347 от 30.11.2011 разрабатывался для технического регулирования объектов атомной энергетики, но… – Нечеткости формулировки…. • Особенности оценки соответствия продукции (работ, услуг), а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации или уполномоченными ими федеральными органами исполнительной власти – Новая редакция ст.5 ФЗ-184
Что в сухом остатке • Требование «оценки соответствия» есть и от него никуда не деться – Не все регуляторы одинаково читают и трактуют ФЗ-184 • Однозначного ответа по обязательности сертификации нет – При условии, что на ПП-330 и дальше будет висеть гриф «ДСП» • Оценка соответствия может быть в различных формах – От сертификации и государственного контроля и надзора до приемки и ввода в эксплуатацию • Если сценарий развития будет негативным (вероятность 65%) – Небольшие западные игроки рынка ИБ не выживут в условиях изменившихся правил игры – Крупные западные игроки рынка ИБ, которые не учли специфику регулирования вопросов ИБ в России, столкнутся с серьезными трудностями
security-request@cisco.com Благодарю вас за внимание BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 21

Empfohlen

Rd 03-298-99
Rd 03-298-99Rd 03-298-99
Rd 03-298-99Lewis Gray
 
Нормативные акты, требующие оценки соответствия средств защиты
Нормативные акты, требующие оценки соответствия средств защитыНормативные акты, требующие оценки соответствия средств защиты
Нормативные акты, требующие оценки соответствия средств защитыAleksey Lukatskiy
 
Rd 14-531-03
Rd 14-531-03Rd 14-531-03
Rd 14-531-03Marc Holt
 
Rd 11-589-03
Rd 11-589-03Rd 11-589-03
Rd 11-589-03Lewis Gray
 
Licensing
LicensingLicensing
Licensingcnpo
 
Rd 10-528-03
Rd 10-528-03Rd 10-528-03
Rd 10-528-03Moses Rich
 
Certification
CertificationCertification
Certificationcnpo
 
Zakon ob otsenke sootvetstviy_r
Zakon ob otsenke sootvetstviy_rZakon ob otsenke sootvetstviy_r
Zakon ob otsenke sootvetstviy_rRyan Wright
 

Empfohlen

Rd 03-298-99
Rd 03-298-99Rd 03-298-99
Rd 03-298-99Lewis Gray
 
Нормативные акты, требующие оценки соответствия средств защиты
Нормативные акты, требующие оценки соответствия средств защитыНормативные акты, требующие оценки соответствия средств защиты
Нормативные акты, требующие оценки соответствия средств защитыAleksey Lukatskiy
 
Rd 14-531-03
Rd 14-531-03Rd 14-531-03
Rd 14-531-03Marc Holt
 
Rd 11-589-03
Rd 11-589-03Rd 11-589-03
Rd 11-589-03Lewis Gray
 
Licensing
LicensingLicensing
Licensingcnpo
 
Rd 10-528-03
Rd 10-528-03Rd 10-528-03
Rd 10-528-03Moses Rich
 
Certification
CertificationCertification
Certificationcnpo
 
Zakon ob otsenke sootvetstviy_r
Zakon ob otsenke sootvetstviy_rZakon ob otsenke sootvetstviy_r
Zakon ob otsenke sootvetstviy_rRyan Wright
 
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчикаAndrey Fadin
 
Rd 03-485-02
Rd 03-485-02Rd 03-485-02
Rd 03-485-02Noah Khan
 
Сертификат пожарной безопасности. Добровольная сертификация
Сертификат пожарной безопасности. Добровольная сертификацияСертификат пожарной безопасности. Добровольная сертификация
Сертификат пожарной безопасности. Добровольная сертификацияЕлена Суворова
 
Pb 03-314-99
Pb 03-314-99Pb 03-314-99
Pb 03-314-99vikmanam45
 
Rd 13-02-2006
Rd 13-02-2006Rd 13-02-2006
Rd 13-02-2006Caleb Wood
 
"Подготовка технического файла. Подача заявки на оценку соответствия медицин...
"Подготовка технического файла. Подача заявки на оценку соответствия медицин... "Подготовка технического файла. Подача заявки на оценку соответствия медицин...
"Подготовка технического файла. Подача заявки на оценку соответствия медицин...Improve Medical LLC
 
Охрана труда. Минимальный перечень документов, необходимый для проверки ГИТ
Охрана труда. Минимальный перечень документов, необходимый для проверки ГИТОхрана труда. Минимальный перечень документов, необходимый для проверки ГИТ
Охрана труда. Минимальный перечень документов, необходимый для проверки ГИТДиректор по персоналу & Кадровое Дело
 
О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...Олег Габов
 
О лицензионных требованиях для осуществления деятельности по эксплуатации взр...
О лицензионных требованиях для осуществления деятельности по эксплуатации взр...О лицензионных требованиях для осуществления деятельности по эксплуатации взр...
О лицензионных требованиях для осуществления деятельности по эксплуатации взр...ALEXANDER SOLODOVNIKOV
 
Rd 03-484-02
Rd 03-484-02Rd 03-484-02
Rd 03-484-02Lewis Gray
 
МФИ Софт. Сергей Добрушский: "Безопасность баз данных. Как разделить ответств...
МФИ Софт. Сергей Добрушский: "Безопасность баз данных. Как разделить ответств...МФИ Софт. Сергей Добрушский: "Безопасность баз данных. Как разделить ответств...
МФИ Софт. Сергей Добрушский: "Безопасность баз данных. Как разделить ответств...Expolink
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIAleksey Lukatskiy
 
Microsoft. Сергей Печенкин. новая эра защиты от угроз
Microsoft. Сергей Печенкин. новая эра защиты от угрозMicrosoft. Сергей Печенкин. новая эра защиты от угроз
Microsoft. Сергей Печенкин. новая эра защиты от угрозExpolink
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Газинформсервис. Дмитрий Успехов. "Автоматизация процессов взаимодействия отд...
Газинформсервис. Дмитрий Успехов. "Автоматизация процессов взаимодействия отд...Газинформсервис. Дмитрий Успехов. "Автоматизация процессов взаимодействия отд...
Газинформсервис. Дмитрий Успехов. "Автоматизация процессов взаимодействия отд...Expolink
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's differenceAleksey Lukatskiy
 
Privacy approaches
Privacy approachesPrivacy approaches
Privacy approachesAleksey Lukatskiy
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISOAleksey Lukatskiy
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in RussiaAleksey Lukatskiy
 
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиAleksey Lukatskiy
 
Security finance measurement
Security finance measurementSecurity finance measurement
Security finance measurementAleksey Lukatskiy
 

Weitere ähnliche Inhalte

Was ist angesagt?

Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчикаAndrey Fadin
 
Rd 03-485-02
Rd 03-485-02Rd 03-485-02
Rd 03-485-02Noah Khan
 
Сертификат пожарной безопасности. Добровольная сертификация
Сертификат пожарной безопасности. Добровольная сертификацияСертификат пожарной безопасности. Добровольная сертификация
Сертификат пожарной безопасности. Добровольная сертификацияЕлена Суворова
 
"Подготовка технического файла. Подача заявки на оценку соответствия медицин...
"Подготовка технического файла. Подача заявки на оценку соответствия медицин... "Подготовка технического файла. Подача заявки на оценку соответствия медицин...
"Подготовка технического файла. Подача заявки на оценку соответствия медицин...Improve Medical LLC
 
Охрана труда. Минимальный перечень документов, необходимый для проверки ГИТ
Охрана труда. Минимальный перечень документов, необходимый для проверки ГИТОхрана труда. Минимальный перечень документов, необходимый для проверки ГИТ
Охрана труда. Минимальный перечень документов, необходимый для проверки ГИТДиректор по персоналу & Кадровое Дело
 
О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...Олег Габов
 
О лицензионных требованиях для осуществления деятельности по эксплуатации взр...
О лицензионных требованиях для осуществления деятельности по эксплуатации взр...О лицензионных требованиях для осуществления деятельности по эксплуатации взр...
О лицензионных требованиях для осуществления деятельности по эксплуатации взр...ALEXANDER SOLODOVNIKOV
 

Was ist angesagt? (10)

Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчика
 
Rd 03-485-02
Rd 03-485-02Rd 03-485-02
Rd 03-485-02
 
Сертификат пожарной безопасности. Добровольная сертификация
Сертификат пожарной безопасности. Добровольная сертификацияСертификат пожарной безопасности. Добровольная сертификация
Сертификат пожарной безопасности. Добровольная сертификация
 
Pb 03-314-99
Pb 03-314-99Pb 03-314-99
Pb 03-314-99
 
Rd 13-02-2006
Rd 13-02-2006Rd 13-02-2006
Rd 13-02-2006
 
"Подготовка технического файла. Подача заявки на оценку соответствия медицин...
"Подготовка технического файла. Подача заявки на оценку соответствия медицин... "Подготовка технического файла. Подача заявки на оценку соответствия медицин...
"Подготовка технического файла. Подача заявки на оценку соответствия медицин...
 
Охрана труда. Минимальный перечень документов, необходимый для проверки ГИТ
Охрана труда. Минимальный перечень документов, необходимый для проверки ГИТОхрана труда. Минимальный перечень документов, необходимый для проверки ГИТ
Охрана труда. Минимальный перечень документов, необходимый для проверки ГИТ
 
О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...О сертификации ПО по требованиям безопасности информации в системе сертификац...
О сертификации ПО по требованиям безопасности информации в системе сертификац...
 
О лицензионных требованиях для осуществления деятельности по эксплуатации взр...
О лицензионных требованиях для осуществления деятельности по эксплуатации взр...О лицензионных требованиях для осуществления деятельности по эксплуатации взр...
О лицензионных требованиях для осуществления деятельности по эксплуатации взр...
 
Rd 03-484-02
Rd 03-484-02Rd 03-484-02
Rd 03-484-02
 

Andere mochten auch

МФИ Софт. Сергей Добрушский: "Безопасность баз данных. Как разделить ответств...
МФИ Софт. Сергей Добрушский: "Безопасность баз данных. Как разделить ответств...МФИ Софт. Сергей Добрушский: "Безопасность баз данных. Как разделить ответств...
МФИ Софт. Сергей Добрушский: "Безопасность баз данных. Как разделить ответств...Expolink
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIAleksey Lukatskiy
 
Microsoft. Сергей Печенкин. новая эра защиты от угроз
Microsoft. Сергей Печенкин. новая эра защиты от угрозMicrosoft. Сергей Печенкин. новая эра защиты от угроз
Microsoft. Сергей Печенкин. новая эра защиты от угрозExpolink
 
Газинформсервис. Дмитрий Успехов. "Автоматизация процессов взаимодействия отд...
Газинформсервис. Дмитрий Успехов. "Автоматизация процессов взаимодействия отд...Газинформсервис. Дмитрий Успехов. "Автоматизация процессов взаимодействия отд...
Газинформсервис. Дмитрий Успехов. "Автоматизация процессов взаимодействия отд...Expolink
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's differenceAleksey Lukatskiy
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISOAleksey Lukatskiy
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in RussiaAleksey Lukatskiy
 
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиAleksey Lukatskiy
 
Security finance measurement
Security finance measurementSecurity finance measurement
Security finance measurementAleksey Lukatskiy
 
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Aleksey Lukatskiy
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Aleksey Lukatskiy
 
Безопасность мобильных платежей
Безопасность мобильных платежейБезопасность мобильных платежей
Безопасность мобильных платежейAleksey Lukatskiy
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБAleksey Lukatskiy
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Ключевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным даннымКлючевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным даннымAleksey Lukatskiy
 

Andere mochten auch (20)

МФИ Софт. Сергей Добрушский: "Безопасность баз данных. Как разделить ответств...
МФИ Софт. Сергей Добрушский: "Безопасность баз данных. Как разделить ответств...МФИ Софт. Сергей Добрушский: "Безопасность баз данных. Как разделить ответств...
МФИ Софт. Сергей Добрушский: "Безопасность баз данных. Как разделить ответств...
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
 
Моделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFIМоделирование угроз для BIOS и UEFI
Моделирование угроз для BIOS и UEFI
 
Microsoft. Сергей Печенкин. новая эра защиты от угроз
Microsoft. Сергей Печенкин. новая эра защиты от угрозMicrosoft. Сергей Печенкин. новая эра защиты от угроз
Microsoft. Сергей Печенкин. новая эра защиты от угроз
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
Газинформсервис. Дмитрий Успехов. "Автоматизация процессов взаимодействия отд...
Газинформсервис. Дмитрий Успехов. "Автоматизация процессов взаимодействия отд...Газинформсервис. Дмитрий Успехов. "Автоматизация процессов взаимодействия отд...
Газинформсервис. Дмитрий Успехов. "Автоматизация процессов взаимодействия отд...
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
 
Privacy approaches
Privacy approachesPrivacy approaches
Privacy approaches
 
Security trends for Russian CISO
Security trends for Russian CISOSecurity trends for Russian CISO
Security trends for Russian CISO
 
Crypto regulations in Russia
Crypto regulations in RussiaCrypto regulations in Russia
Crypto regulations in Russia
 
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасностиПерспективы сотрудничества России и АСЕАН в области кибербезопасности
Перспективы сотрудничества России и АСЕАН в области кибербезопасности
 
Security finance measurement
Security finance measurementSecurity finance measurement
Security finance measurement
 
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?
 
News in FZ-152
News in FZ-152News in FZ-152
News in FZ-152
 
Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)Весь Магнитогорск за 15 минут (2015)
Весь Магнитогорск за 15 минут (2015)
 
Security apocalypse
Security apocalypseSecurity apocalypse
Security apocalypse
 
Безопасность мобильных платежей
Безопасность мобильных платежейБезопасность мобильных платежей
Безопасность мобильных платежей
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Ключевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным даннымКлючевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным данным
 

Ähnlich wie Надо ли применять сертифицированные средства защиты ПДн

«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России1С-Битрикс
 
презентация руспромэксперт 4
презентация руспромэксперт 4презентация руспромэксперт 4
презентация руспромэксперт 4Dmitryi
 
Zakon o sertifikatcii_r
Zakon o sertifikatcii_rZakon o sertifikatcii_r
Zakon o sertifikatcii_rAngelo Ratliff
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациSoftline
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?cnpo
 
презентация руспромэксперт 4
презентация руспромэксперт 4презентация руспромэксперт 4
презентация руспромэксперт 4Dmitryi
 
Техническое регулирование в обеспечении безопасности, качества и комфортности...
Техническое регулирование в обеспечении безопасности, качества и комфортности...Техническое регулирование в обеспечении безопасности, качества и комфортности...
Техническое регулирование в обеспечении безопасности, качества и комфортности...metrosphera
 
Security regulations public
Security regulations publicSecurity regulations public
Security regulations publicExpolink
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаAleksey Lukatskiy
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 
системы сертификации, требования к аккредитации
системы сертификации, требования к аккредитациисистемы сертификации, требования к аккредитации
системы сертификации, требования к аккредитацииcezium
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТПAleksey Lukatskiy
 
Аттестация
АттестацияАттестация
Аттестацияpesrox
 
Сертификация ВЭД
Сертификация ВЭДСертификация ВЭД
Сертификация ВЭДBDA
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Cisco Russia
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)
Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)
Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)dontourism
 

Ähnlich wie Надо ли применять сертифицированные средства защиты ПДн (20)

«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России
 
презентация руспромэксперт 4
презентация руспромэксперт 4презентация руспромэксперт 4
презентация руспромэксперт 4
 
Zakon o sertifikatcii_r
Zakon o sertifikatcii_rZakon o sertifikatcii_r
Zakon o sertifikatcii_r
 
Аттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информациАттестация объектов информатизации по требованиям безопасности информаци
Аттестация объектов информатизации по требованиям безопасности информаци
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?
 
презентация руспромэксперт 4
презентация руспромэксперт 4презентация руспромэксперт 4
презентация руспромэксперт 4
 
Техническое регулирование в обеспечении безопасности, качества и комфортности...
Техническое регулирование в обеспечении безопасности, качества и комфортности...Техническое регулирование в обеспечении безопасности, качества и комфортности...
Техническое регулирование в обеспечении безопасности, качества и комфортности...
 
Security regulations public
Security regulations publicSecurity regulations public
Security regulations public
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012
 
системы сертификации, требования к аккредитации
системы сертификации, требования к аккредитациисистемы сертификации, требования к аккредитации
системы сертификации, требования к аккредитации
 
Проект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТППроект приказа ФСТЭК по защите информации в АСУ ТП
Проект приказа ФСТЭК по защите информации в АСУ ТП
 
Information Security Certification process
Information Security Certification processInformation Security Certification process
Information Security Certification process
 
Аттестация
АттестацияАттестация
Аттестация
 
Сертификация ВЭД
Сертификация ВЭДСертификация ВЭД
Сертификация ВЭД
 
3
33
3
 
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
Решения Cisco для обеспечения соответствия требования регуляторов по безопасн...
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)
Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)
Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)
 
Rd 10-528-03
Rd 10-528-03Rd 10-528-03
Rd 10-528-03
 

Mehr von Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 

Mehr von Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Kürzlich hochgeladen

ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...Ирония безопасности
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Ирония безопасности
 

Kürzlich hochgeladen (9)

ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 

Надо ли применять сертифицированные средства защиты ПДн

  • 1. Сертифицированные средства защиты для ИСПДн. Надо или в топку? Лукацкий Алексей, консультант по безопасности
  • 2. О сертификации средств защиты ПДн • Методами и способами защиты информации от несанкционированного доступа являются…использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия • Оценка соответствия регулируется ФЗ-184 «О техническом регулировании» • Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту – ст. 2 ФЗ-184 «О техническом регулировании»
  • 3. Оценка соответствия • Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме – ст.7 ФЗ-184 «О техническом регулировании» • Самым распространенным мнением является уравнивание оценки соответствия и подтверждения соответствия • Согласно Приказу Председателя Гостехкомиссии России от 27 октября 1995 г. № 199 обязательной сертификации подлежат любые средства защиты информации ограниченного доступа – В первоначальной версии этой приписки не было
  • 4. Оценка соответствия ≠ сертификация Госконтроль и надзор Аккредитация Испытания Оценка Добровольная Регистрация соответствия сертификация Подтверждение Обязательная соответствия сертификация Приемка и ввод Декларирование в эксплуатацию соответствия В иной форме
  • 5. Подтверждение соответствия • Документальное удостоверение соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров – ст.2 ФЗ-184 «О техническом регулировании» • Подтверждение – Добровольная сертификация – Обязательная сертификация – Обязательная декларация о соответствии
  • 6. Подтверждение соответствия • Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента – ст.23.1 ФЗ-184 «О техническом регулировании» • В случае отсутствия тех.регламентов, действуют требования, установленные органами исполнительной власти (ст.5.1 ФЗ-184), а порядок их применения определяется Правительством (ст.5.2 ФЗ-184) – Акты нижестоящих структур могут только конкретизировать детали, а не устанавливать/изменять существо требований
  • 7. Не ФСТЭК устанавливает особенности оценки соответствия • Особенности оценки соответствия продукции (работ, услуг) и объектов, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации – ст.5 ФЗ-184 «О техническом регулировании» – Не ФСТЭК определяет требования, а Правительство
  • 8. Об обязательной сертификации СЗИ • Согласно ПП-608 обязательная сертификация средств защиты предусматривается только для защиты гостайны – В остальных случаях сертификация является добровольной • Согласно ПП-1013 средства защиты не входят в перечень товаров, подлежащих обязательной сертификации – 1 декабря 2009 было принято новое ПП-982 «Об утверждении единого перечня продукции, подлежащей обязательной сертификации, и единого перечня продукции, подтверждение соответствия которой осуществляется в форме принятия декларации о соответствии»
  • 9. Постановление Правительства №982 • С 1-го декабря 2009 года существует единый перечень всех товаров, которые подлежат обязательной сертификации... – Исключая продукцию, требования к которой устанавливаются в соответствии со статьей 5 Федерального Закона «О техническом регулировании» • Иными словами обязательная сертификация средств защиты может быть определена отдельными нормативными актами… – Особенности технического регулирования в части разработки и установления обязательных требований ... устанавливаются Президентом Российской Федерации, Правительством Российской Федерации в соответствии с их полномочиями (ФЗ- 184 «О техническом регулировании») • ФСТЭК требует обязательной сертификации средств защиты (как и аттестации) негостайны, а Правительство нет – Или все-таки да?!
  • 10. Гром с ясного неба!!! • ПП-330 от 15 мая 2010 г. «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскании), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)» – ДСП
  • 11. Постановление Правительства 330 • Сфера применения - государственные информационные ресурсы и персданные – Нелогично, но зато не на все виды информации • Оценка соответствия осуществляется в формах обязательной сертификации и государственного контроля (надзора) – Теперь только сертифицированные средства защиты информации • Принцип подтверждения соответствия – «ограниченный доступ к информации и документам, касающимся установления обязательных требований, сертификационных испытаний продукции и подтверждения ее соответствия, а также методов и способов защиты информации конфиденциального характера»
  • 13. Надо ли выполнять ПП-330? • На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных • Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию – Ст.4.2 ФЗ-152
  • 14. Так обязательная или добровольная?
  • 15. Сертифицированные СЗИ, банки и СТО БР ИББС • В составе АБС должны применяться встроенные защитные меры, а также рекомендуются к использованию сертифицированные или разрешенные руководством организации к применению средства защиты информации от НСД и НРД – Раздел 7.4.2 СТО БР ИББС-1.0 • Выполнение функций обеспечения безопасности персональных данных в ИСПДн должно обеспечиваться средствами защиты информации, прошедшими в установленном порядке процедуру оценки соответствия, а также комплексом встроенных механизмов защиты ЭВМ, ОС, СУБД, прикладного ПО – Раздел 6.3.2 РС БР ИББС 2.3 • Но каков юридический статус СТО БР ИББС в настоящий момент?
  • 16. Мнение Сенаторова М.Ю. • Отсутствие в настоящее время технических регламентов, устанавливающих требования к СЗИ, используемым для обеспечения безопасности ПДн при их обработке в ИСПДн, делает невозможным как оценку соответствия, так и добровольное или обязательное подтверждение соответствия СЗИ. • Таким образом, до выпуска документов, обеспечивающих выполнение требований законодательства, считаем возможным применение для обеспечения безопасности ПДн при их обработке в ИС встроенных защитных мер, сертифицированных СЗИ, а также средств защиты, не включённых в Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами - участниками таможенного союза, в рамках ЕвразЭС в торговле с третьими странами – Письмо ЦБР от от 17 ноября 2011 г. № 015-16-9/4713 “О средствах защиты информации, применяемых при обработке персональных данных”
  • 17. Еще раз об оценке соответствия • Оценка соответствия проводится в формах государственного контроля (надзора), аккредитации, испытания, регистрации, подтверждения соответствия, приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме – Государственный контроль и надзор – это тоже форма оценки соответствия • Можно дожидаться надзорных мероприятий со стороны ФСТЭК… • А еще оператор ПДн может самостоятельно осуществить приемку и ввод в эксплуатацию системы защиты – В соответствие с требованиями ст.18.1 и 19 152-ФЗ, п.3 ст.7 184- ФЗ, п.5 ПП-781, признать прошедшими испытания и ввести в эксплуатацию следующие технические средства защиты ИСПДн…
  • 18. Небольшое изменение формулировки закона… • Особенности оценки соответствия продукции (работ, услуг) и объектов, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации – ст.5 ФЗ-184 «О техническом регулировании» – Не ФСТЭК определяет требования, а Правительство • Так было до 30.11.2011
  • 19. …и куча новых вопросов, остающихся пока без ответов • ФЗ-347 от 30.11.2011 разрабатывался для технического регулирования объектов атомной энергетики, но… – Нечеткости формулировки…. • Особенности оценки соответствия продукции (работ, услуг), а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации или уполномоченными ими федеральными органами исполнительной власти – Новая редакция ст.5 ФЗ-184
  • 20. Что в сухом остатке • Требование «оценки соответствия» есть и от него никуда не деться – Не все регуляторы одинаково читают и трактуют ФЗ-184 • Однозначного ответа по обязательности сертификации нет – При условии, что на ПП-330 и дальше будет висеть гриф «ДСП» • Оценка соответствия может быть в различных формах – От сертификации и государственного контроля и надзора до приемки и ввода в эксплуатацию • Если сценарий развития будет негативным (вероятность 65%) – Небольшие западные игроки рынка ИБ не выживут в условиях изменившихся правил игры – Крупные западные игроки рынка ИБ, которые не учли специфику регулирования вопросов ИБ в России, столкнутся с серьезными трудностями
  • 21. security-request@cisco.com Благодарю вас за внимание BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 21