Закон о СКЗИ - Форум по вопросам информационной безопасности
Закон о СКЗИ - Форум по вопросам информационной безопасности
| Автор: otnud | 110705 | 02.03.2023 09:45 |
|
Добрый день, коллеги. Вопрос по подзаконникам возник.
Нормативка по ИСПДн - это подзаконники к 152-ФЗ Нормативка по ГИС - это подзаконники к 149-ФЗ Нормативка по КИИ - это подзаконники к 187-ФЗ Нормативка по ГТ - это подзаконники к 5485-1-ФЗ То есть всю массу подзаконников мы выполняем, потому что этого требует соответствующий федеральный закон.И особнячком стоит нормативка по СКЗИ. Вот, собственно, и вопрос. Какой закон обязывает нас выполнять ведомственные требования, например, ПКЗ-2005 и, тем более, ФАПСИ-152? |
|
| Автор: oko | 110709 | 03.03.2023 14:04 |
|
to otnud
Все вышеуказанные законы и многие другие, которые в явном виде предусматривают для Правительства и ФСБ России (ранее ФАПСИ) возможности определять требования, порядки и правила лицензирования, использования, реализации, разработки и т.д. шифровальных (криптографических) программных средств, программно-аппаратных комплексов, алгоритмов и т.д. Если вы попробуете выстроить цельную и непротиворечивую схему этих взаимосвязей в целях решения конкретной прикладной задачи (например, обязаны ли мы вести журнал учета журналов, если мы внедряем сертифицированные СКЗИ сами и чисто для себя, но в целях защиты охраняемой законом ИОД), то попадете в ту же петлю, в которой находятся безопасники страны, пытавшиеся это сделать до вас. И ответ будет прост: в общем случае вроде бы да, но вроде бы и нет - решать по ситуации... На форуме эти нюансы обсуждались уже очень много раз в разные годы и с разным успехом... |
|
| Автор: otnud | 110710 | 03.03.2023 22:51 |
|
oko, в данном случае вопрос вполне конкретный, и буду признателен, если укажете на ранее разобранное по-нормальному в какой-то теме.
ФСБ это не ранее ФАПСИ, они вполне существовали одновременно. А журнал учета журналов это вообще из области делопроизводства, а не защиты информации ) |
|
| Автор: oko | 110711 | 04.03.2023 00:46 |
|
to otnud
Как говорил один мой знакомый покойник - ну вот, вы все сами знаете, а зачем-то прикидываетесь... Впрочем, всегда имеет смысл воспринимать весь ответ целиком, а также средствами любого поисковика научиться парсить конкретный ресурс - это поможет приблизиться к истине, если первичный вопрос вообще предполагал эту цель... Либо сразу обращаться к юристам, чтобы получить ответ со ссылкой на конкретные пункты закона, примеры судебной практики и проч., и проч., никак, в целом, не относящееся к защите информации, ага... |
|
| Автор: otnud | 110712 | 04.03.2023 22:24 |
|
oko, да, конечно, это вопрос юридический в большей степени. Но, поскольку он относится к ТЗИ, думаю, что уместно было задать его здесь. А "курите интернет", "курите форумы" и "спросите у юристов" никак не приближает нас к результату.
|
|
| Автор: oko | 110713 | 05.03.2023 01:02 |
|
*в сторону*
"Молодого" безопасника учат, что есть Требования, есть Регуляторы, есть базовые Законы, есть Методы и Методики - все это необходимо смешать, но не взбалтывать, добавить щепотку здравого смысла и толику здоровой паранойи - затем залить получившийся коктейл в сосуд конкретного ОИ/организации/сферы (в зависимости от вовлеченности безопасника, ага) == profit! И нефиг задумываться о логических и иных неувязках между компонентами коктейля - работать надо, ибо ИБ/ЗИ сами себя не обеспечат... "Опытный" безопасник уже знает о большинстве нюансов, которые возникают при описанном выше подходе. Он в курсе противоречивости Методик, понимает неуниверсальность Требований и Законов, сталкивался с разностью мнений экспертов Регуляторов (иногда одного и того же Регулятора, ага), осознает недостатки здравого смысла и паранойи в качестве модуса операнди применительно к желаниям организации/сферы, в которой приходится работать, и применительно к своим собственным возможностям и силам. Все это позволяет ему занять более-менее удачную позицию по каждому вопросу и/или направлению, вывести свое собственное "золотое сечение" в треугольнике "безопасность - экономичность - функциональность" и с переменным успехом лавировать и оптимизировать меры ИБ/ЗИ применительно к конкретным ОИ/организациям/сферам. В целом, тоже == protif! А если вдруг встретится какая-то логическая или иная неувязка? Что ж - с этим разберемся самостоятельно или с привлечением компетентных специалистов по ходу пьесы - а сейчас работать надо, ибо ИБ/ЗИ сами себя не обеспечат... Истинный безопасник - это уже какой-то экстрасенс. И как в случае всякого экстрасенса - комментарии тут излишне. За исключением одного: он знает, что лучшая и непротиворечивая позиция - это та, которую сам разобрал до косточек, сам выстроил, сам задекларировал, сам можешь предъявить и доказать. Все на благо ИБ/ЗИ конкретных ОИ/организаций/сфер, которые, как уже говорилось, сами себя не обеспечат... Однако, у всех указанных видов обычно нет ни времени, ни сил, ни желания задаваться пространными вопросами в стиле "а на основании какого закона мы должны?" Этим должен заморачиваться владелец ОИ или хотя бы профильный юрист. А дело безопасников любых видов - обеспечивать ИБ/ЗИ конкретных ОИ/организации/сферы *вырезано* или хотя бы искать более приземленные способы переложить ответственность в спорных вопросах ИБ/ЗИ на другие плечи, если нормативного коллапса не избежать */вырезано* to otnud Проформы ради и демонстрации метода "чем ждать 3 дня, проще поискать самостоятельно": ч. 5 ст. 16 149-ФЗ -> ПП РФ 676 за 2015 г. + Приказ ФСБ России 524 за 2022 г. -> Приказ ФСБ России 66 за 2005 г. Это к вопросу общего случая применительности ПКЗ-2005 в ГИС. Для ИСПДн, КИИ и т.д., а также их связи с ПКЗ-2005, 152-ФАПСИ и всяческими методиками, заключениями и правилами - можно найти самостоятельно. Или нельзя. Или можно, но результат будет неоднозначный. О чем и говорил двумя постами ранее... imho, лучше всего все-таки задать конкретный вопрос не из разряда попытки объять необъятное. Потому что ответ на первичный вакуумный вопрос был дан в первом же ответном посте: любой закон, в котором ФСБ явно уполномочено и под которым есть соответствующие корректные подзаконные акты... |
|
| Автор: otnud | 110714 | 05.03.2023 23:13 |
|
oko, под законы вполне ложится, все, что Вами перечислено, за исключением 152-фапси
|
|
| Автор: oko | 110718 | 06.03.2023 20:43 |
|
to otnud
Отнюдь, мое мнение, что и 152-ФАПСИ криво, но вполне правомочна в рамках ПКЗ-2005 (во всяком случае по цепочке приведенного ранее примера для ГИС)... Так и будем играть в "верю/не верю" или наконец конкретно обсудим, что вас так волнует по указанным документам? |
|
| Автор: otnud | 110721 | 09.03.2023 09:23 |
|
oko, можете цепочку от Конституции до 152-фапси выстроить?
|
|
| Автор: oko | 110723 | 09.03.2023 13:40 |
|
to otnud
Не вопрос. Применяем метод тов. Гаусса: Конституция РФ -> clare -> clare -> clare -> Приказ ФАПСИ №152 от 13.06.2001... В рамках дальнейшей дискуссии о сферических конях в вакууме предлагаю подписать договор консультационных услуг, в рамках которого выделить, что тов. oko не несет перед тов. otnud никакой ответственности за полноту и корректность своей позиции и за юр.значимость результатов оказания оных услуг, поскольку тов. oko не уполномочен давать официальные разъяснения и комментарии к НПА, НМД и проч. решениям законодателей и регуляторов. И что тов. oko в который раз намекает тов. otnud, что ситуация с правовым статусом НПА и НМД по СКЗИ во многом неоднозначная, но, в сущности, не имеющая никакого отношения к фактическому обеспечению процессов ИБ/ЗИ в стране на уровне оконечных безопасников, и могущая интересовать не столько безопасников, сколько юристов и иже с ними. К которым, собственно, тов. oko и рекомендовал ранее обратиться тов. otnud. Реквизиты, сумма (или иные условия оплаты), подписи (можно КЭП, ага) и дата. А далее поглядим... |
|
Страницы: 1 2 3 4 5 >
Просмотров темы: 1451
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"