среда, 29 октября 2014 г.

Классификация информационных систем персональных данных

Добрый день, коллеги! Сегодня я хочу представить Вам третью статью из цикла "Персональные данные: что было, что будет, на чем сердце успокоится". Статья посвящена классификации ИСПДн по старым и новым требованиям. Как классифицировали системы пять лет назад? Что такое уровень защищенности? Почему класс К1 по Приказу трех не то же самое, что класс К1 по 17 Приказу ФСТЭК? На все эти вопросы ответы можно найти в моей статье. Читатайте, комментируйте. Надеюсь, материал будет Вам полезным.
Статья находится в открытом доступе здесь.

Страница ВКонтакте: http://vk.com/kshudrova
Страница Блога: http://shudrova.blogspot.ru/

4 комментария:

  1. Ксения, спасибо за статью! Только вот не покидает мысль, что в наших нормативах пропущено соответствие угроза - мера. поэтому все, что разрабатывается по указанному Вам плану либо работает на бумаге, либо опыт у безопасника должен быть великий. Т.е. нормативы мало чем помогают. Почему бы не сделать как в "лучших практиках", например здесь: http://csrc.nist.gov/publications/nistpubs/800-30-rev1/sp800_30_r1.pdf

    ОтветитьУдалить
  2. Спасибо Вам за полезный комментарий! Жаль, что в нормативке нет таких подробных инструкций. Пока приходится определять угрозы "на глаз" :)

    ОтветитьУдалить
  3. В статье Вами приведен пример классификации ИСПДн некоторой организации.
    Вопрос: на каком основании Вы для нее определяете класс по 17 приказу?
    Прочитайте 17 приказ внимательно - он распространяется только на ГИС и МИС.
    Не вводите людей в заблуждение, пожалуйста.

    ОтветитьУдалить
    Ответы
    1. Приказ 17 МОЖНО использовать в негосударственных организациях по желанию. Перечитайте внимательно

      Удалить