Проект приказа «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Мы уже сообщали о публикации на официальном сайте ФСТЭК России проекта приказа «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Поскольку блоггеры активно обсуждают данный документ, мы тоже решили высказать свое мнение.
Документ, в общем, оставил позитивное впечатление. Отметим следующие положительные и прогрессивные моменты нового документа.
- Документ написан с использованием обобщения «лучших практик» и мирового опыта в данной области (достаточно посмотреть NIST SP 800-53).
- Указанные меры по защите информации сформулированы на основе последних достижений в области методов и средств защиты информации и позволяют противостоять наиболее актуальным в настоящее время угрозам, а не тем угрозам, которые были актуальны 20 — 30 лет назад.
- Документ позволяет использовать компенсирующие меры защиты информации при невозможности или нецелесообразности реализации в системе защиты информации отдельных выбранных мер защиты информации — налицо прогрессивный шаг, уход от «табличного» подхода РД АС.
Что хоть что то написали это уже хорошо!
Но как быть простым сис. админам которые не разбираются во всех тонкостях Защиты данных???
Для меня то что они понаписали в большей степени тарабарщина!
Ближе к народу надо быть и писать нормальным языком, понятным не только узкому кругу специалистов.
Кому надо поймут. просто законы надо учиться читать внимательно и вникать. потом в поисковик и ликвидировать пробелы знаний
В том то и дело что надо всем организациям…но не каждая может позволить себе нанять фирму лицензиата или нанять эксперта в области информационной безопасности!!!!
Из чего делаю вывод….Что данный документ написан для узкого круга специалистов и для органов регуляторов, для выемки денежных средств из карманов небольших организаций и ИП.
Я сам закончил курсы по сетевой безопасности….но понять что к чему здесь не всегда удается!
Из чего опять делаю вывод….Написали галиматью….объясняйте везде и при людно что это значит….чем регуляторы к сожалению не занимаются.
Простой кадровик, бухгалтер и др работники которым далек мир ИТ и безопасности эту «писанину» не поймут!!!! А ведь именно на них в организациях и возлагаются обязанности по составлению документации, подбору СЗИ и др.
Поисковик тут не помощник….тут знание нужно причем в 3 областях юриспруденция, ИТ, и ИТ — безопасность.
Кто нибудь знает когда ФСТЭК планирует утвердить данный приказ? И планирую ли они вносить поправки в КоАП?
Буду признателен, тем кто поделится информацией!