Контакты
Подписка
МЕНЮ
Контакты
Подписка

Передача КИ - Форум по вопросам информационной безопасности

Передача КИ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Специалист | 105679 31.01.2019 16:45
Интересный случай произошел сегодня.
Есть организация с формой собственности ГКУ. Отправил на согласование инструкцию по передаче сведений конф. характера.
Юр. отдел отклонил документ с замечанием:
1. Юридический отдел не согласен с формулировкой п.2.9 Инструкции, согласно которой «Запрещается передавать конфиденциальную информацию по открытым каналам связи, в том числе по электронной почте и сети Интернет, без применения сертифицированных средств криптографической защиты информации».

Что посоветуете? Как выходить из таких ситуаций? Да, забыл сказать, все, кроме меня очень далеки от ИБ :)

Автор: Alex_kl | 105680 31.01.2019 18:25
Ну для начала - они просто не согласны или как-то это обосновали? Если обоснования нет, то точно так же можно отклонить их замечание

Автор: oko | 105682 31.01.2019 23:02
to Специалист
Надавить законодательно (через приказы про ГИС, КИИ и проч.) сможете только для "информации ограниченного доступа государственного характера". Можете даже про служебную тайну вписать. Тогда в части СКЗИ и соответствующими ПП РФ можно в лицо ткнуть, и приказами ФСБ (обычно, этого хватает)...
А вот "конфиденциальная информация" как формулировка - слишком расплывчато. Если это коммерческая информация по услугам, предоставляемым ГКУ, то вопросы криптозащиты и защиты вообще - не более чем рекомендация. Можете прописать "Запрещается передавать конфиденциальную информацию по открытым каналам связи ... без обеспечения соответствующей защиты каналов связи или пересылаемых данных". Но это больше для галочки, сами понимаете...

Автор: oko | 105683 31.01.2019 23:06
*вдогонку*
Вам бы не с регламентов начать, а с описания имеющихся информационных ресурсов, каналов и проч. Заодно с разделения их на государственные и частные. Утвердить у руководства, составить план по защите каждого ресурса. И вот под этот план уже писать регламенты, внедрять системы защиты и расписывать каждому участнику "меру их протеста и степень их восторга", ага...

Автор: Специалист | 105685 01.02.2019 09:09
Благодарю за сочуствие :)
Все вышестоящие документы, разумеется, приняты. И определения раскрыты. И принят перечень сведений конф. характера организации.
И чем аргументировать тоже ясно: 149-ФЗ; ФСТЭК 17, 21; СТР-К, думаю можно и еще накидать. Только слушать никто не хочет. Да, да! Тупо не хотят :)
И прошу заметить, это государственное казённое учреждение, а не АО, ООО и иже с ним.
Если кто в жизни решал подобную организационную задачу, буду рад совету.
Хотя может есть мнение, что документ регламентирующий перечу информации гос. органам, гос. организациям и иным контрагентам (в том числе коммерческим) не нужен вовсе?

Автор: WORM, MK | 105687 01.02.2019 11:23
1. Пытаться получить от юристов обоснование их отказа (за вами требования док-тов, за ними пока ничего).
2. Пытаться объяснить начальству что будет, если приедет проверка регулятора (особенно ФСБ). Можно написать служебку по этому поводу и все разложить.
3. Приберечь бумажку с замечанием юристов "для истории". Пригодится.

Просмотров темы: 246

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*