Автор: Специалист | 105679 | 31.01.2019 16:45 |
Интересный случай произошел сегодня.
Есть организация с формой собственности ГКУ. Отправил на согласование инструкцию по передаче сведений конф. характера. Юр. отдел отклонил документ с замечанием: 1. Юридический отдел не согласен с формулировкой п.2.9 Инструкции, согласно которой «Запрещается передавать конфиденциальную информацию по открытым каналам связи, в том числе по электронной почте и сети Интернет, без применения сертифицированных средств криптографической защиты информации». Что посоветуете? Как выходить из таких ситуаций? Да, забыл сказать, все, кроме меня очень далеки от ИБ :) |
Автор: Alex_kl | 105680 | 31.01.2019 18:25 |
Ну для начала - они просто не согласны или как-то это обосновали? Если обоснования нет, то точно так же можно отклонить их замечание
|
Автор: oko | 105682 | 31.01.2019 23:02 |
to Специалист
Надавить законодательно (через приказы про ГИС, КИИ и проч.) сможете только для "информации ограниченного доступа государственного характера". Можете даже про служебную тайну вписать. Тогда в части СКЗИ и соответствующими ПП РФ можно в лицо ткнуть, и приказами ФСБ (обычно, этого хватает)... А вот "конфиденциальная информация" как формулировка - слишком расплывчато. Если это коммерческая информация по услугам, предоставляемым ГКУ, то вопросы криптозащиты и защиты вообще - не более чем рекомендация. Можете прописать "Запрещается передавать конфиденциальную информацию по открытым каналам связи ... без обеспечения соответствующей защиты каналов связи или пересылаемых данных". Но это больше для галочки, сами понимаете... |
Автор: oko | 105683 | 31.01.2019 23:06 |
*вдогонку*
Вам бы не с регламентов начать, а с описания имеющихся информационных ресурсов, каналов и проч. Заодно с разделения их на государственные и частные. Утвердить у руководства, составить план по защите каждого ресурса. И вот под этот план уже писать регламенты, внедрять системы защиты и расписывать каждому участнику "меру их протеста и степень их восторга", ага... |
Автор: Специалист | 105685 | 01.02.2019 09:09 |
Благодарю за сочуствие :)
Все вышестоящие документы, разумеется, приняты. И определения раскрыты. И принят перечень сведений конф. характера организации. И чем аргументировать тоже ясно: 149-ФЗ; ФСТЭК 17, 21; СТР-К, думаю можно и еще накидать. Только слушать никто не хочет. Да, да! Тупо не хотят :) И прошу заметить, это государственное казённое учреждение, а не АО, ООО и иже с ним. Если кто в жизни решал подобную организационную задачу, буду рад совету. Хотя может есть мнение, что документ регламентирующий перечу информации гос. органам, гос. организациям и иным контрагентам (в том числе коммерческим) не нужен вовсе? |
Автор: WORM, MK | 105687 | 01.02.2019 11:23 |
1. Пытаться получить от юристов обоснование их отказа (за вами требования док-тов, за ними пока ничего).
2. Пытаться объяснить начальству что будет, если приедет проверка регулятора (особенно ФСБ). Можно написать служебку по этому поводу и все разложить. 3. Приберечь бумажку с замечанием юристов "для истории". Пригодится. |
Просмотров темы: 1178