Глядя на экзерзисы ФСТЭК с ее DOS-вирусами и вездесущим ПЭМИН не очень верилось, что украинский путь будет другим.
Однако, сегодня Артем Иванко в украинской Linkedin-группе ИБшников поделился ссылкой на проект ответственной службы (Госслужбы защиты ПД Украины) "Рекомендаций по обеспечению защиты баз персональных данных от незаконной обработки, а так же незаконного доступа к ним". Гуглом перевел материал, который в части требований анализа рисков содержит не только разработку классов риска и отдельную отсылку к ранее разработанным государевыми людьми требованиям (т.н. НД ТЗИ), но и к системе управления информационной безопасностью как включающей обязательный анализ рисков, и к переведенному и утвержденному в качестве ГОСТа ISO 13335-2003 (часть 2). Т.е. в итоге есть аж 4 (sic!) варианта анализа рисков, причем 2 из которых вполне себе современны и соотносятся с анализом рисков других видов данных и информационной безопасности в целом. Есть в документе и другие разумные вещи (например, отсылка к утвержденному Нацбанком Украины обязательному к выполнению для банков стандарту построения СУИБ), и в целом проект меня приятно поразил. Учитывая то, что законодательства России и Украины имеют очень много общего, не вижу преград для заимствования передового опыта:)
Хорошего дня!
Однако, сегодня Артем Иванко в украинской Linkedin-группе ИБшников поделился ссылкой на проект ответственной службы (Госслужбы защиты ПД Украины) "Рекомендаций по обеспечению защиты баз персональных данных от незаконной обработки, а так же незаконного доступа к ним". Гуглом перевел материал, который в части требований анализа рисков содержит не только разработку классов риска и отдельную отсылку к ранее разработанным государевыми людьми требованиям (т.н. НД ТЗИ), но и к системе управления информационной безопасностью как включающей обязательный анализ рисков, и к переведенному и утвержденному в качестве ГОСТа ISO 13335-2003 (часть 2). Т.е. в итоге есть аж 4 (sic!) варианта анализа рисков, причем 2 из которых вполне себе современны и соотносятся с анализом рисков других видов данных и информационной безопасности в целом. Есть в документе и другие разумные вещи (например, отсылка к утвержденному Нацбанком Украины обязательному к выполнению для банков стандарту построения СУИБ), и в целом проект меня приятно поразил. Учитывая то, что законодательства России и Украины имеют очень много общего, не вижу преград для заимствования передового опыта:)
Хорошего дня!
Комментариев нет:
Отправить комментарий