Добрый день, коллеги! Сегодня я хочу представить Вам третью статью из цикла "Персональные данные: что было, что будет, на чем сердце успокоится". Статья посвящена классификации ИСПДн по старым и новым требованиям. Как классифицировали системы пять лет назад? Что такое уровень защищенности? Почему класс К1 по Приказу трех не то же самое, что класс К1 по 17 Приказу ФСТЭК? На все эти вопросы ответы можно найти в моей статье. Читатайте, комментируйте. Надеюсь, материал будет Вам полезным.
Статья находится в открытом доступе здесь.
Страница ВКонтакте: http://vk.com/kshudrova
Страница Блога: http://shudrova.blogspot.ru/
Ксения, спасибо за статью! Только вот не покидает мысль, что в наших нормативах пропущено соответствие угроза - мера. поэтому все, что разрабатывается по указанному Вам плану либо работает на бумаге, либо опыт у безопасника должен быть великий. Т.е. нормативы мало чем помогают. Почему бы не сделать как в "лучших практиках", например здесь: http://csrc.nist.gov/publications/nistpubs/800-30-rev1/sp800_30_r1.pdf
ОтветитьУдалитьСпасибо Вам за полезный комментарий! Жаль, что в нормативке нет таких подробных инструкций. Пока приходится определять угрозы "на глаз" :)
ОтветитьУдалитьВ статье Вами приведен пример классификации ИСПДн некоторой организации.
ОтветитьУдалитьВопрос: на каком основании Вы для нее определяете класс по 17 приказу?
Прочитайте 17 приказ внимательно - он распространяется только на ГИС и МИС.
Не вводите людей в заблуждение, пожалуйста.
Приказ 17 МОЖНО использовать в негосударственных организациях по желанию. Перечитайте внимательно
Удалить