Опубликовано 6 августа, 200817 г Так вся криптография проходит по другому ведомству :smile12: Т.ч. по вопросам криптографии в ФСБ т.к. ФСТЭК ею не занимается. Это все понятно (в Основных мероприятиях идет отсылка в это ведомство)... А вот по каким нормативным документам ФСБ защищать ПД надо? :smile10: Кто-нибудь знает про это? :smile8: Ну, а если Вы докажете ФСТЭК, что у Вас введен режим защиты конфиденциальной информации (естественно, что Вы обязуетесь защищать передаваемую Вам служебную тайну), то Вы спокойно можете купить у них любой руководящий документ ДСП не взирая на отсутствие у Вас лицензии. Что и было сделано :smile1: Я же говорю - магическая фраза, которая сразу убедила ФСТЭК в том, что он у меня есть (я и правда храню все эти документы в сейфе и выдаю по реестру :smile17: ).
Опубликовано 7 августа, 200817 г А вот по каким нормативным документам ФСБ защищать ПД надо? :smile10: Кто-нибудь знает про это? :smile8: Ни по 1Г, ни по 1Д криптография не предусмотрена т.ч. в минимальные требования она не входит. Туда куда криптография входит в обязательном порядке относится к ГТ. Т.ч. пока документов о криптографической защите ПД нет. Другое дело если Вы захотите сами использовать криптографию или являетесь банком (Свифт требует обязательного наличия лицензии ФСБ на криптографию) - тогда см. Инструкцию об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Приказ ФАПСИ от 13 июня 2001 г. N 152)
Опубликовано 7 августа, 200817 г Ни по 1Г, ни по 1Д криптография не предусмотрена т.ч. в минимальные требования она не входит. Туда куда криптография входит в обязательном порядке относится к ГТ. Так 1Г и1Д тут не при делах - там идут классы 1-4 (хотя в-целом, требования достаточно похожи :smile3: ). Т.ч. пока документов о криптографической защите ПД нет. Другое дело если Вы захотите сами использовать криптографию или являетесь банком (Свифт требует обязательного наличия лицензии ФСБ на криптографию) - тогда см. Инструкцию об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (Приказ ФАПСИ от 13 июня 2001 г. N 152) Понятно. Хоть какая-то конкретика Нашел еще более свежее ПКЗ-2005 " ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О РАЗРАБОТКЕ, ПРОИЗВОДСТВЕ, РЕАЛИЗАЦИИ И ЭКСПЛУАТАЦИИ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ (ПОЛОЖЕНИЕ ПКЗ-2005)". Но там все завязано на согласование с ФСБ и оценку соответствия спец. лабораториями (сугубо дифференцированный подход? :smile10: ) И кстати, ПКЗ-2005 отменяет этот приказ №152 :smile3: Посмотрите его текст На самом деле в "Основных мероприятиях..." есть ляп в п.4.2.7. Там идет явное упоминание о криптографической подсистеме :smile13: Вот и думай после этого... :smile10: Изменено 7 августа, 200817 г пользователем Vinni
Опубликовано 7 августа, 200817 г Так 1Г и1Д тут не при делах - там идут классы 1-4 (хотя в-целом, требования достаточно похожи :smile3: ). 1Г и 1Д - это классы АС для обработки конфиденциалки по ФТЭК (отталкивался от них) Нашел еще более свежее ПКЗ-2005 " ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О РАЗРАБОТКЕ, ПРОИЗВОДСТВЕ, РЕАЛИЗАЦИИ И ЭКСПЛУАТАЦИИ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ (ПОЛОЖЕНИЕ ПКЗ-2005)". Но там все завязано на согласование с ФСБ и оценку соответствия спец. лабораториями (сугубо дифференцированный подход? Сенкс. Не отследил...
Опубликовано 7 августа, 200817 г 1Г и 1Д - это классы АС для обработки конфиденциалки по ФТЭК (отталкивался от них) Сенкс. Не отследил... Рад помочь. И еще информация к размышлению :smile2: Читаю п.2 Положения №781 Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Тут-то криптографические средства упоминаются :smile10: но непонятно, обязательно ли это... :smile2:
Для публикации сообщений создайте учётную запись или авторизуйтесь