Здесь можно скачать картинку в высоком разрешении и исходник в формате MS Visio.
Несколько пояснений по схеме:
- красными стрелками обозначено, какой документ на каком основан;
- синими стрелками показаны ссылки из одних документов в другие;
- цветами показаны разные "уровни" документов
- фиолетовый и синий - общие основополагающие документы;
- оранжевый - конкретизирующие документы;
- зеленый и коричневый - документы, содержащие конкретные требования;
- красный - документы по вопросам контроля и ответственности;
- серый - вспомогательные документы;
- красным фоном выделены наиболее важные документы, в которых находится основной объем требований (при использовании СКЗИ для защиты ПДн также важными становятся документы ФСБ, при обработке биометрических ПДн - ПП-512).
- зачеркнуты на схеме документы ФСТЭК, которые можно не использовать после введения приказом Комплекса БР ИББС - все содержащиеся в них требования включены в СТО БР ИББС-1.0, РС БР ИББС-2.3 и РС БР ИББС-2.4.
Сами документы можно найти в разделе блога "Законодательство и требования".
Красивая картинка :)
ОтветитьУдалитьПриказ "трех" можно тоже зачеркивать, т.к. в ИББС определен свой подход к классификации.
781 постановление тоже спорный момент, т.к. часть его тоже в явном виде выкинута, например:
- классификация на основании объема;
- сертификация всех средств защиты;
- определение угроз и формирование модели угроз.
Еще потерялся СТО БР ИББС 1.1 и некоторые рекомендации по стандартизации.
Спасибо за комментарий :)
ОтветитьУдалитьЗачеркивать приказ "трех" и ПП-781 думаю, было бы не совсем корректно. В БР ИББС, конечно, свой подход к классификации, но он все-таки основывается на приказе "трех" и логически продолжает его. А ПП-781 ЦБ-шные документы полностью не заменяют и учитывать его все равно придется.
Я вычеркивал только те документы, которые можно вообще не рассматривать. 58-й приказ полностью замещается РС БР ИББС-2.3, наличие отраслевой модели РС БР ИББС-2.4 позволяет обойтись без "базовой модели" и "методики" ФСТЭК. А все остальное придется учесть.
Что касается СТО БР ИББС-1.1 - думаю, Вы правы, обновлю схему. Хотя напрямую к ПД он отношения не имеет, без него не обойтись при проведении внешней оценки соответствия. ;)
А по поводу потерявшихся рекомендаций по стандартизации - конкретизируйте, пожалуйста.
Верхний уровень. Забыли закон о банках и банковской деятельности (банковская тайна), ГК РФ (та же самая банковская тайна) и трехглавый закон (профтайна - она же банковская тайна).
ОтветитьУдалитьА ведь именно на том, что ПДн переданные субъектом банкам для осуществления ими профессиональной деятельности относятся к банковской/профессиональной тайне и постоена классификация в Комплексе БР ИББС-2010.
Далее кресты с базовой модели угроз и методики определения актуальных угроз можно снять т.к. отраслевая модель постороена с их учетом.
Крест с 58 приказа также можно снять т.к. классификация построена на основании приказа трех (пункт на счет специальных ИСПДн) и вообще-то ИСПДн-И~ИСПДн К2, а ИСПДН-С~ИСПДн К1.
А в некоторых пунктах требования даже жестче...
Разве-что расширен перечень возможных к применению СЗИ теми, которые не сертифицированы, но разрешены руководством. И вопрос лицензирования по ТЗКИ - см. http://www.gosbook.ru/node/8464
Спасибо! Основы для ухода под банковскую тайну я действительно упустил из виду. А трехглавый закон учтен в лице его приемника - 149-ФЗ (см. 2 ряд).
ОтветитьУдалитьЧто касается "крестов" на документах ФСТЭК... Комплекс БР ИББС безусловно на них основывается, и отменить он их не может. Но. Он полностью заменяет их требования и при построении системы защиты ПДн их можно не принимать во внимание (достаточно помнить, что они есть). Именно в этом был смысл "крестов".
За ссылку по вопросу ТЗКИ - спасибо, интересная статья и комментарии. Но с точки зрения карты требований по ПД для банков, она, по-моему, ничего не меняет.
P.S. Готовится новая редакция карты с учетом комментариев Alexey Babenko и toparenko. Кроме нее готовится схема со всеми требованиями по ПД для банков :)
Карта законодательства по ПД обновлена. Спасибо Alexey Babenko и toparenko за комментарии.
ОтветитьУдалитьбольшое спасибо за карту
ОтветитьУдалитьвыручила при написании диплома